Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS-Problem

Hallo,

Ich habe ein kleines Problem und weiß nicht recht weiter ...

Ich habe bei mir den HTTP/S-Proxy im Transparent-Mode laufen.

Bei manchen HTTPS-Seiten (Amazon, etc.) wird die Seite einfach nicht aufgebaut, andere funktionieren aber tadellos.

Bisher habe ich folgendes kontrolliert:

  • Web Security -> HTTP/S -> Advanced -> Allowed target services: HTTPS ist dort eingetragen.
  • Network Security -> Packet Filter: Eine Regel die mir von Intern erlaubt Web Surfing zu betreiben. Die Regel ist aktiv und HTTPS drinnen.


Ich habe dann versucht im HTTP/S-Proxy die Funktion Scan HTTPS (SSL) Traffic zu aktivieren und die Seiten wurden aufgebaut ... leider funktionieren dann manch andere Programme nicht.

Hat jemand eine Idee, wie ich das wieder so hinbekomme, dass er mir die Seiten aufbaut ohne das ich den SSL-Traffic scannen lasse?

Ich weiß das es vor dem heutigen Update auf Version 8.002 noch funktioniert hat.

Wäre für jede Hilfe dankbar!


This thread was automatically locked due to age.
  • Wenn 'scan SSL traffic' deaktiviert ist, brauchst du im transparenten modus eine Packet Filter regel die den Traffic durchlaesst. Der HTTP Proxy ist in dem fall gar nicht mehr an der Kommunikation beteiligt.

    Kannst du dir mal das packetfilter.log und das ips.log anschauen? Wenn packete geblockt werden, sollte das dort ersichtlicht sein.
    Falls du NAT benutzt, solltest du auch sicherstellen das das Masquerading / DNAT/SNAT passt - wenn der proxy nicht benutzt wird muss ja auch genattet werden.
  • Hallo Ulmi,

    Das ips.log ist leer und wonach genau soll ich in denn im packetfilter.log schauen? (Sorry, ich bin leider noch ziemlich unerfahren)

    Und ja, NAT verwende ich. Masquerading ist vom internen auf das externe Netzwerk eingestellt.
  • am einfachsten schaust du dir das log an wenn in deinem Netz sonst nichts los ist, und versuchst dann mit deinem browser eine HTTPS seite zu erreichen.
    Achte dann auf die neu hinzugekommenen Eintraege, HTTPS benutzt port 443, und du kannst ja auch anhand der source/destination IP erkennen welche packete zu deinem jetzigen problem gehoeren.

    Falls packete mit destination port 443 und source IP aus deinem internen Netz gedroppt werden, stimmt was mit der packet filter regel nicht.
  • Also der Live Log, wenn ich mein Konto bei Amazon versuche aufzurufen sieht wie folgt aus:
    2010:10:01-16:24:00 astaro httpproxy[4785]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="87.238.86.121" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="194 ms" request="0x93ea008" url="http://www.amazon.de/gp/css/homepage.html/ref=topnav_na?ie=UTF8&is-secure=true" exceptions="" error="" category="136" reputation="trusted" categoryname="Online Shopping"

    2010:10:01-16:24:02 astaro httpproxy[4785]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="173.194.6.171" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="26163" time="194 ms" request="0xa231c90" url="http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAEYwakCIICsAiop35QAAP_______________________________________________wMyCMGUAAD___8_" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" content-type="application/vnd.google.safebrowsing-chunk"

    2010:10:01-16:24:05 astaro httpproxy[4785]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="173.194.6.171" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="8136" time="64 ms" request="0xa231c90" url="http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAYvcgBINDIATIHPWQAAPW_Dw" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" content-type="application/vnd.google.safebrowsing-chunk"

    2010:10:01-16:24:05 astaro httpproxy[4785]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="173.194.6.171" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="21979" time="103 ms" request="0xa231c90" url="http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAAY0cgBIKDJASoMZWQAAP________8PMgdRZAAA__0P" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" content-type="application/vnd.google.safebrowsing-chunk"

    2010:10:01-16:24:05 astaro httpproxy[4785]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="173.194.6.171" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3887" time="56 ms" request="0xa231c90" url="http://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchABGKnqAyDQ6gMyCin1AAD______wA" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" content-type="application/vnd.google.safebrowsing-chunk"

    2010:10:01-16:24:05 astaro httpproxy[4785]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="173.194.6.171" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2827" time="54 ms" request="0xa231c90" url="http://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchABGNHqAyCg6wMqC231AAD_______8PMghR9QAA____Dw" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" content-type="application/vnd.google.safebrowsing-chunk"

    2010:10:01-16:24:05 astaro httpproxy[4785]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="173.194.6.171" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="38969" time="126 ms" request="0xa231c90" url="http://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGKH2BiDA9wYyGSG7AQD____72_e____v-__--3____r__wA" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" content-type="application/vnd.google.safebrowsing-chunk"

    2010:10:01-16:24:06 astaro httpproxy[4785]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="173.194.6.171" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1711" time="50 ms" request="0xa231c90" url="http://safebrowsing-cache.google.com/safebrowsing/rd/ChFnb29nLXBoaXNoLXNoYXZhchAAGMH3BiCA-gYqK8q7AQD__________________________________________________38yBsG7AQD_AQ" exceptions="" error="" category="178" reputation="neutral" categoryname="Internet Services" content-type="application/vnd.google.safebrowsing-chunk"


    Danach tut sich gar nichts mehr. Ich werde nur leider nicht schlau darauß ... wie gesagt ich bin Anfänger. [:(]
  • Nuradon, das ist das http.log, wie du siehst werden da keine https anfragen geloggt. Interesant ist das packet filter log, findest du unter anderem unter Logging->View Log Files.
    Falls du davon eintraege postest, dann bitte nicht vom livelog, sondern direkt vom logfile, da stehen mehr infos drin.
  • Sorry,

    Jetzt aber:

    2010:10:01-17:47:11 astaro ulogd[4021]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="6c:f0:49:5:17:4e" dstmac="40:61:86:1:ff:21" srcip="192.168.39.2" dstip="192.168.39.1" proto="17" length="44" tos="0x00" prec="0x00" ttl="128" srcport="52070" dstport="8612"

    2010:10:01-17:47:43 astaro ulogd[4021]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="6c:f0:49:5:17:4e" dstmac="40:61:86:1:ff:21" srcip="192.168.39.2" dstip="192.168.39.1" proto="17" length="44" tos="0x00" prec="0x00" ttl="128" srcport="52073" dstport="8612"

    2010:10:01-17:48:16 astaro ulogd[4021]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="6c:f0:49:5:17:4e" dstmac="40:61:86:1:ff:21" srcip="192.168.39.2" dstip="192.168.39.1" proto="17" length="44" tos="0x00" prec="0x00" ttl="128" srcport="52076" dstport="8612"

    2010:10:01-17:48:21 astaro ulogd[4021]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="115.186.33.12" dstip="91.115.170.90" proto="6" length="48" tos="0x00" prec="0x00" ttl="111" srcport="4612" dstport="445" tcpflags="SYN"

    2010:10:01-17:48:23 astaro ulogd[4021]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="190.43.32.23" dstip="91.115.170.90" proto="6" length="60" tos="0x00" prec="0x00" ttl="48" srcport="2090" dstport="23" tcpflags="SYN"

    2010:10:01-17:48:24 astaro ulogd[4021]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="115.186.33.12" dstip="91.115.170.90" proto="6" length="48" tos="0x00" prec="0x00" ttl="111" srcport="4612" dstport="445" tcpflags="SYN"

    2010:10:01-17:48:48 astaro ulogd[4021]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="6c:f0:49:5:17:4e" dstmac="40:61:86:1:ff:21" srcip="192.168.39.2" dstip="192.168.39.1" proto="17" length="44" tos="0x00" prec="0x00" ttl="128" srcport="52079" dstport="8612"

    2010:10:01-17:49:21 astaro ulogd[4021]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="6c:f0:49:5:17:4e" dstmac="40:61:86:1:ff:21" srcip="192.168.39.2" dstip="192.168.39.1" proto="17" length="44" tos="0x00" prec="0x00" ttl="128" srcport="52082" dstport="8612"


    Dort sehe ich, dass es gedropped wird ... aber wie behebe ich nun das Problem? [:(]
  • in dem log ausschnitt ist kein https traffic dabei, dafuer gibts mehrere moeglichkeiten:
    -du hast eine packet filter rule die dropt ohne zu loggen(kann man bei den PF rules einstellen)
    -der traffic wurde nicht von der asg geblockt, 
    -der logausschnitt ist vom falschen zeitpunkt..

    Um festzustellen ob es am packetfilter liegt, kannst du ja auch mal folgendes machen: erstelle eine neue PF regel, mit src=lokales netz, service=any und dst=any, stelle diese in der PF liste ganz nach oben und aktiviere sie kurz zum testen.

  • Um festzustellen ob es am packetfilter liegt, kannst du ja auch mal folgendes machen: erstelle eine neue PF regel, mit src=lokales netz, service=any und dst=any, stelle diese in der PF liste ganz nach oben und aktiviere sie kurz zum testen.


    Diese Regel habe ich schon die ganze Zeit drinnen und auch aktiv.

    Und du hast Recht, die Regel loggt nicht ... sonst etwas wie ich das prüfen/beheben kann?
  • Kann mir keiner bei dem Thema helfen?
  • Hallo,
    du musst noch bei deinem Browser als Proxy die IP der ASG eigegeben und als port 8080! -Extras/Internetoptionen/Verbindung/Lan.....

    Schau auch mal hier

    Gruß
    Andreas