Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS-Problem

Hallo,

Ich habe ein kleines Problem und weiß nicht recht weiter ...

Ich habe bei mir den HTTP/S-Proxy im Transparent-Mode laufen.

Bei manchen HTTPS-Seiten (Amazon, etc.) wird die Seite einfach nicht aufgebaut, andere funktionieren aber tadellos.

Bisher habe ich folgendes kontrolliert:

  • Web Security -> HTTP/S -> Advanced -> Allowed target services: HTTPS ist dort eingetragen.
  • Network Security -> Packet Filter: Eine Regel die mir von Intern erlaubt Web Surfing zu betreiben. Die Regel ist aktiv und HTTPS drinnen.


Ich habe dann versucht im HTTP/S-Proxy die Funktion Scan HTTPS (SSL) Traffic zu aktivieren und die Seiten wurden aufgebaut ... leider funktionieren dann manch andere Programme nicht.

Hat jemand eine Idee, wie ich das wieder so hinbekomme, dass er mir die Seiten aufbaut ohne das ich den SSL-Traffic scannen lasse?

Ich weiß das es vor dem heutigen Update auf Version 8.002 noch funktioniert hat.

Wäre für jede Hilfe dankbar!


This thread was automatically locked due to age.
Parents
  • Hi Nuradon,

    aber wenn https://www.gmx.net funktioniert, hast du dann mal noch andere HTTPS-Seiten aufgerufen? Ich habe es eben nochmal getestet: 3x ocsp und dann x-Mal HTTPS-Pakete zu Amazon.

    Was findet sich zu den HTTPS-Seiten in deinem Paketfilter- und Web-Log wieder?

    In deinem Browser darf kein Proxy eingetragen sein.

    Hast du evtl. im Browser irgend ein Plugin oder 'ne Funktion aktiviert, die SSL-Zertifikate prüft? Habe mir eben mal die Sicherheitsdetails der beiden Seiten geholt (Einfach links neben der URL aufs Symbol klicken(Firefox)). GMX verschlüsselt AES 256bit, Amazon RC4 128bit.

    Mit welcher Version der AStaro arbeitest du eigentlich?
    -- 
    MfG, Steffen
  • Also vorweg mal einige Informationen:

    • Ich verwenden die Astaro v8.002.
    • Im Packt Filter hab ich eine Regel die mir vom internen Netz überallhin HTTPS erlaubt und auch loggt.
    • Beim HTTPS-Proxy hab ich die Funktion das SSL Traffic gescannt wird nicht aktiv.
    • Und unter Exceptions hab ich gemacht, was mir DrSmokey geraten hat:
      Ich habe nun Im Proxy eine Ausnahme erstellt die für das Interne Netz das Scannen von Zertifikaten und SSL abschaltet ( 3 Hacken unter HTTPS in der Proxy Ausnahme )



    Soweit mal alles richtig?

    Ich hab es auch schon bei anderen HTTPS-Seiten probiert, das seltsame ist das es bei manchen geht und bei manchen wieder nicht ...
    Bei Amazon weiß ich eben das es nicht geht.

    Jetzt zu den Logs:

    Packt Filter Log (ca. 4 Minuten lang, in dieser Zeit ist die Seite immer noch nicht aufgebaut):
    19:47:00 Packet filter rule #1 TCP 192.168.39.2 : 51153 → 87.238.83.166 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51155 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51156 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51157 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:05 Default DROP TCP 212.227.17.186 : 143 → 91.115.166.69 : 62504 [ACK PSH] len=64 ttl=56 tos=0x00
    19:47:07 Default DROP UDP 192.168.39.2 : 57870 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51159 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51160 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51161 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:39 Default DROP UDP 192.168.39.2 : 57874 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:48:12 Default DROP UDP 192.168.39.2 : 57878 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:48:44 Default DROP UDP 192.168.39.2 : 57882 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:49:17 Default DROP UDP 192.168.39.2 : 57886 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:49:35 Default DROP TCP 117.201.115.96 : 17548 → 91.115.166.69 : 445 [SYN] len=48 ttl=113 tos=0x00
    19:49:38 Default DROP TCP 117.201.115.96 : 17548 → 91.115.166.69 : 445 [SYN] len=48 ttl=113 tos=0x00
    19:49:49 Default DROP UDP 192.168.39.2 : 57890 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:50:22 Default DROP UDP 192.168.39.2 : 57894 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:50:41 SSH connection attempt TCP 209.172.99.107 : 4843 → 91.115.166.69 : 22 [SYN] len=48 ttl=107 tos=0x00
    19:50:54 Default DROP UDP 192.168.39.2 : 57898 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:51:05 Default DROP TCP 67.195.145.195 : 80 → 91.115.166.69 : 35604 [ACK SYN] len=44 ttl=116 tos=0x00
    19:51:27 Default DROP UDP 192.168.39.2 : 57902 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21


    Wo wir schon dabei sind, was bedeutet eigentlich der Logeintrag:
    Default DROP UDP 192.168.39.2 : 57898 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21

    Der kommt wenn ich das richtig sehe ca. alle 30 Sekunden.

    HTTP Live Log (ca. 3 Minuten lang, in dieser Zeit ist die Seite immer noch nicht aufgebaut):
    2010:11:09-20:00:35 astaro-hlinka httpproxy[4828]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="87.238.86.121" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="149 ms" request="0xaffef620" url="www.amazon.de/.../ref=topnav_na

    Ist es normal, dass da in der Zeit nur ein Eintrag kommt?

    Hoffe die Logs sind aussagekräftig ...

    Danke,
    Markus
Reply
  • Also vorweg mal einige Informationen:

    • Ich verwenden die Astaro v8.002.
    • Im Packt Filter hab ich eine Regel die mir vom internen Netz überallhin HTTPS erlaubt und auch loggt.
    • Beim HTTPS-Proxy hab ich die Funktion das SSL Traffic gescannt wird nicht aktiv.
    • Und unter Exceptions hab ich gemacht, was mir DrSmokey geraten hat:
      Ich habe nun Im Proxy eine Ausnahme erstellt die für das Interne Netz das Scannen von Zertifikaten und SSL abschaltet ( 3 Hacken unter HTTPS in der Proxy Ausnahme )



    Soweit mal alles richtig?

    Ich hab es auch schon bei anderen HTTPS-Seiten probiert, das seltsame ist das es bei manchen geht und bei manchen wieder nicht ...
    Bei Amazon weiß ich eben das es nicht geht.

    Jetzt zu den Logs:

    Packt Filter Log (ca. 4 Minuten lang, in dieser Zeit ist die Seite immer noch nicht aufgebaut):
    19:47:00 Packet filter rule #1 TCP 192.168.39.2 : 51153 → 87.238.83.166 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51155 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51156 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51157 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:05 Default DROP TCP 212.227.17.186 : 143 → 91.115.166.69 : 62504 [ACK PSH] len=64 ttl=56 tos=0x00
    19:47:07 Default DROP UDP 192.168.39.2 : 57870 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51159 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51160 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51161 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:39 Default DROP UDP 192.168.39.2 : 57874 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:48:12 Default DROP UDP 192.168.39.2 : 57878 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:48:44 Default DROP UDP 192.168.39.2 : 57882 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:49:17 Default DROP UDP 192.168.39.2 : 57886 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:49:35 Default DROP TCP 117.201.115.96 : 17548 → 91.115.166.69 : 445 [SYN] len=48 ttl=113 tos=0x00
    19:49:38 Default DROP TCP 117.201.115.96 : 17548 → 91.115.166.69 : 445 [SYN] len=48 ttl=113 tos=0x00
    19:49:49 Default DROP UDP 192.168.39.2 : 57890 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:50:22 Default DROP UDP 192.168.39.2 : 57894 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:50:41 SSH connection attempt TCP 209.172.99.107 : 4843 → 91.115.166.69 : 22 [SYN] len=48 ttl=107 tos=0x00
    19:50:54 Default DROP UDP 192.168.39.2 : 57898 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:51:05 Default DROP TCP 67.195.145.195 : 80 → 91.115.166.69 : 35604 [ACK SYN] len=44 ttl=116 tos=0x00
    19:51:27 Default DROP UDP 192.168.39.2 : 57902 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21


    Wo wir schon dabei sind, was bedeutet eigentlich der Logeintrag:
    Default DROP UDP 192.168.39.2 : 57898 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21

    Der kommt wenn ich das richtig sehe ca. alle 30 Sekunden.

    HTTP Live Log (ca. 3 Minuten lang, in dieser Zeit ist die Seite immer noch nicht aufgebaut):
    2010:11:09-20:00:35 astaro-hlinka httpproxy[4828]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="87.238.86.121" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="149 ms" request="0xaffef620" url="www.amazon.de/.../ref=topnav_na

    Ist es normal, dass da in der Zeit nur ein Eintrag kommt?

    Hoffe die Logs sind aussagekräftig ...

    Danke,
    Markus
Children
  • Was ich vergessen habe zu sagen:
    Im Firefox habe ich keinen Proxy eingerichtet und auch keine Plugins oder Funktionen, die mir SSL-Zertifikate überprüfen (falls das der Falls wäre würde ich ja nicht mal auf die Seite kommen, wenn Scan HTTPS Trafic aktiviert ist ...).