Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4279 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent Proxy Session Idle Timeout

skm
Hello,

I want to run Transparent Proxy with AD SSO. Everything work good but I don't have any idea how can I change transparent proxy session idle timeout. After circa 5 minutes users are somehow deauthenticated and they fall into "Default Block Filter". I need to restart web browser an then everything is OK until next deauthentication. I have changed Web Protection > Filtering Options > Misc > Authentication timeout to 3600 but it doesn't help( I assume it is applicable only to Standard Proxy). We are running 9.201-23 on 2xASG425 in active-standby HA. Web browser: Internet Explorer 11.


This thread was automatically locked due to age.
  • 0
    Hi, skm, and welcome to the User BB!

    The Authentication timeout is for the Transparent proxy only.

    Cheers - Bob
  • 0
    OK then it doesn't work for transparent proxy. Users are deauthenticated before timeout (it takes place randomly, not after 5 minutes as I thought). For example: user have 3 tabs in IE opened - 2 tabs with internal systems and 1 tab with external cloud service in internet, he work on these 3 tabs and then tries to open one more tab but he can't, because utm block it. User must restart browser and then it works.
     
    How can I troubleshoot that? Which log should I check to find a deauthentication reason for certain user? Is there any tool for sophos UTM that can help me?

    EDIT

    I have noticed one thing: that problem exist for every website that is on exception list and every host that is on "Skip transparent mode source/destination hosts/nets" list. That means: if I'm browsing only webservice on host that is on "Skip transparent mode source/destination hosts/nets" and/or I'm browsing Website that is on exception list then after certain/random ammount of time I'm deauthenticated by Proxy and when I want to open new tab with google.com then I'm blocked and I must restart browser or open another instance IE to reauthenticate, after that everything works in both webbrowser OR I need to have opened (apart excepted websites/services) additionally one tab with website that is not on exception list, then I'm not deauthenticated.

    It looks like bug/magic/feature/hidden feature?
  • 0
    I am assuming you are using "Browser" authentication that gives you a portal website to log in at.

    Turn off all pop-up blockers on your browser.
    Now after you log in you should automatically get a tab popping up (containing a logout button).
    As long as that tab is open you will remain logged in.
    Once you close the tab (or make it so it does not open) you have the value in authentication timeout that you will be logged in.

    Note that some sites (for example HTTPS, but its more complex than that) will continue to use the cached user past the authentication timeout value.  Therefore the may "feel" like the timeout is random.
  • 0
    Here is my config:


    I'm not using browser authentication with login website. I want to make proxy as transparent as possible for user, hence I dont use any logon websites, popups and so on. The only thing that user have to do, is open a http website to authenticate.
  • 0
    Make sure you have read this and done the browser steps.
    How to Configure Active Directory (AD) Single SignOn (SSO) in Transparent Mode on Sophos UTM

    Also 9.202 had some bug fixes for this, if you are not running it already.
  • 0
    I dont see in changelog any statements about that problem. Standard Proxy make too many problems for us and we decided to turn it off. I had configured now Standard Proxy and it works. 

    Thank you for your help Michael.