Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2580 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS pages in Wifi when not scanning HTTPS

jhotchkiss
Hi everyone, it appears that there's quite a lot of other threads around this topic, but none specially with the issue i'm having (that i can find at least). Feel free to point me to one if i've missed it though.

Basically i have 3 WiFi networks setup on my 320 UTM (9.109-1)
1 for Corp machine, bridged to the corp LAN
1 for Guest users, set up as a hotspot and kept separate
1 for BYOD set up as a normal WiFi, but kept separate also.

The Corp WiFi doesnt have HTTPS scanning set on it yet (Web filtering > Global) and is also in transparent mode (for testing).
Both the other WLANs have their own Web Filter Profiles, with default filter actions set.

Here's my problem.
I dont want HTTPS scanning on the 2 non-corp WLANS but whenever i un-tick this box (on the Web. Filtering Profile for each WLAN), i cant access HTTPS web traffic at all. HTTP is fine.
If it tick it, then i can access HTTPS site as well, but i get a warning about all the SSL certs when i do (unless i install the UTM cert locally -which i dont want to do).

How can i allow these two WLANs to access both http and https sites, without me needing to install the UTM certificate on every device, and without needing to scan https traffic on them either?

thanks in advance for any help. Happy to provide more details of config if it will help.


This thread was automatically locked due to age.
  • 0
    You need to allow HTTPS traffic to Internet via firewall rule for those corp networks. BTW: v9.200 is able to do HTTPS SNI inspection for URL filtering without SSL scanning alias certificate hell.
  • 0 in reply to trollvottel
    Hi trollvottel and thanks for the reply.

    I thought this myself and think I've configured this, but its not working still. If i disable the Web filter profile for this WLAN then i cant access anything on the internet.

    My firewall (rule) is set to allow all http and https traffic, from the BYOD WiFi network to any IP4... this should cover it???
    With Web Filter profile ON and no https scanning, i cant use https websites
    With Web filter profile On and scanning https, i get the https certificate error
    With Web filter profile OFF i cant access any sites at all.

    I must be missing something here??? I've even tried to update the rule to allow ANY service out from this WLAN, but it also wont work.

    This is a brand new UTM and I'm just trying to get it set up, and would like to do this before learning how to do the manual update to 9.2, or possibly just wait for the Up2date to do it for me in April(?) -unless the manual process is REALLY easy?

    thanks for your input, much appreciated.
  • 0
    Hi, jhotchkiss, and welcome to the User BB!

    My firewall rule) is set to allow all http and https traffic, from the BYOD WiFi network to any IP4

    Please [Go Advanced] and attach a picture of your firewall rule.

    Cheers - Bob
  • 0
    I've made a little bit of progress... if i set the proxy server and port, to the the IP of the UTM on the WLAN network and the port of the proxy to be 8080 (as configured on Web Filtering > Advanced" then HTTPS traffic works fine.

    However:
    a. I dont want to have to do this on every device on these WLANS
    b. i'm still confused why this works fine on the main corp WLAN & LAN where i dont have any of these settings set up and its using the default web filter.

    Its also worth mentioning what i see in the Webfilter log when i'm having the problems.
    For a computer https web page
    2014:03:12-16:57:48 My_FW-Name-1 httpproxy[6020]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="My device internal IP" dstip="173.194.67.105" user="" statuscode="302" cached="0" profile="REF_HttProStaffbyod (Staff_BYOD)" filteraction="REF_HttCffWrstaFilteActio (WR_Staff_BYOD Filter Action)" size="261" request="0xea821d0" url="www.google.com/.../html" application="google"

    For an android secure app access to amazon
    2014:03:12-17:29:23 My_FW-Name-1 httpproxy[6020]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="My device internal IP" dstip="54.230.8.31" user="" statuscode="200" cached="0" profile="REF_HttProStaffbyod (Staff_BYOD)" filteraction="REF_HttCffWrstaFilteActio (WR_Staff_BYOD Filter Action)" size="6744" request="0xeef8010" url="ecx.images-amazon.com/.../jpeg" application="amazon"
  • 0
    For a computer https web page
     2014:03:12-16:57:48 

    That's not an HTTPS access.  statuscode="302" means a redirect, so this is normal.

    What happens if you place your firewall rule in position 1?  If that doesn't solve the problem, check #1 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    Cheers - Bob
  • 0
    Do you have a NAT Masq rule for the network in question?
  • 0 in reply to dilandau
    Do you have a NAT Masq rule for the network in question?


    Thanks dilandau, you were right with the NAT Masq rule. As soon as i added this things started flowing better. Thanks for that. i hadn't thought that would be an issue, though it makes sense now.

    I've also now re-checked the help docs but in the contents view and there is a basic settings "step-by-step" for WLAN creation, with some additional things to do in order to get something basic like web access on a new WLAN. I hadn't thought to check the help in this way and figured everything i saw in the "contents view" was the same. Lesson learnt though

    Really appreciate the help though peeps :-)