Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS-Problem

Hallo,

Ich habe ein kleines Problem und weiß nicht recht weiter ...

Ich habe bei mir den HTTP/S-Proxy im Transparent-Mode laufen.

Bei manchen HTTPS-Seiten (Amazon, etc.) wird die Seite einfach nicht aufgebaut, andere funktionieren aber tadellos.

Bisher habe ich folgendes kontrolliert:

  • Web Security -> HTTP/S -> Advanced -> Allowed target services: HTTPS ist dort eingetragen.
  • Network Security -> Packet Filter: Eine Regel die mir von Intern erlaubt Web Surfing zu betreiben. Die Regel ist aktiv und HTTPS drinnen.


Ich habe dann versucht im HTTP/S-Proxy die Funktion Scan HTTPS (SSL) Traffic zu aktivieren und die Seiten wurden aufgebaut ... leider funktionieren dann manch andere Programme nicht.

Hat jemand eine Idee, wie ich das wieder so hinbekomme, dass er mir die Seiten aufbaut ohne das ich den SSL-Traffic scannen lasse?

Ich weiß das es vor dem heutigen Update auf Version 8.002 noch funktioniert hat.

Wäre für jede Hilfe dankbar!


This thread was automatically locked due to age.
  • 16:45:44 Packet filter rule #1 TCP 192.168.39.2 : 51663 → 95.100.145.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    
    16:45:44 Packet filter rule #1 TCP 192.168.39.2 : 51664 → 95.100.145.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21

    So weit, so gut.
    16:45:58 Default DROP TCP 79.186.252.163 : 12102 → 91.x.y.107 : 445 [SYN] len=48 ttl=115 tos=0x00
    
    16:46:01 Default DROP TCP 79.186.252.163 : 12102 → 91.x.y.107 : 445 [SYN] len=48 ttl=115 tos=0x00

    Auch normal weil 79.186.252.163 hat ja nichts mit amazon.de zu tun:
    163.252.186.79.in-addr.arpa   IN   PTR   aejs163.neoplus.adsl.tpnet.pl

    Was sieht man in HTTP Live Log?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Nuradon,

    aber wenn https://www.gmx.net funktioniert, hast du dann mal noch andere HTTPS-Seiten aufgerufen? Ich habe es eben nochmal getestet: 3x ocsp und dann x-Mal HTTPS-Pakete zu Amazon.

    Was findet sich zu den HTTPS-Seiten in deinem Paketfilter- und Web-Log wieder?

    In deinem Browser darf kein Proxy eingetragen sein.

    Hast du evtl. im Browser irgend ein Plugin oder 'ne Funktion aktiviert, die SSL-Zertifikate prüft? Habe mir eben mal die Sicherheitsdetails der beiden Seiten geholt (Einfach links neben der URL aufs Symbol klicken(Firefox)). GMX verschlüsselt AES 256bit, Amazon RC4 128bit.

    Mit welcher Version der AStaro arbeitest du eigentlich?
    -- 
    MfG, Steffen
  • Also vorweg mal einige Informationen:

    • Ich verwenden die Astaro v8.002.
    • Im Packt Filter hab ich eine Regel die mir vom internen Netz überallhin HTTPS erlaubt und auch loggt.
    • Beim HTTPS-Proxy hab ich die Funktion das SSL Traffic gescannt wird nicht aktiv.
    • Und unter Exceptions hab ich gemacht, was mir DrSmokey geraten hat:
      Ich habe nun Im Proxy eine Ausnahme erstellt die für das Interne Netz das Scannen von Zertifikaten und SSL abschaltet ( 3 Hacken unter HTTPS in der Proxy Ausnahme )



    Soweit mal alles richtig?

    Ich hab es auch schon bei anderen HTTPS-Seiten probiert, das seltsame ist das es bei manchen geht und bei manchen wieder nicht ...
    Bei Amazon weiß ich eben das es nicht geht.

    Jetzt zu den Logs:

    Packt Filter Log (ca. 4 Minuten lang, in dieser Zeit ist die Seite immer noch nicht aufgebaut):
    19:47:00 Packet filter rule #1 TCP 192.168.39.2 : 51153 → 87.238.83.166 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51155 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51156 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:03 Packet filter rule #1 TCP 192.168.39.2 : 51157 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:05 Default DROP TCP 212.227.17.186 : 143 → 91.115.166.69 : 62504 [ACK PSH] len=64 ttl=56 tos=0x00
    19:47:07 Default DROP UDP 192.168.39.2 : 57870 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51159 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51160 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:28 Packet filter rule #1 TCP 192.168.39.2 : 51161 → 95.100.65.51 : 443 [SYN] len=52 ttl=127 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:47:39 Default DROP UDP 192.168.39.2 : 57874 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:48:12 Default DROP UDP 192.168.39.2 : 57878 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:48:44 Default DROP UDP 192.168.39.2 : 57882 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:49:17 Default DROP UDP 192.168.39.2 : 57886 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:49:35 Default DROP TCP 117.201.115.96 : 17548 → 91.115.166.69 : 445 [SYN] len=48 ttl=113 tos=0x00
    19:49:38 Default DROP TCP 117.201.115.96 : 17548 → 91.115.166.69 : 445 [SYN] len=48 ttl=113 tos=0x00
    19:49:49 Default DROP UDP 192.168.39.2 : 57890 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:50:22 Default DROP UDP 192.168.39.2 : 57894 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:50:41 SSH connection attempt TCP 209.172.99.107 : 4843 → 91.115.166.69 : 22 [SYN] len=48 ttl=107 tos=0x00
    19:50:54 Default DROP UDP 192.168.39.2 : 57898 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21
    19:51:05 Default DROP TCP 67.195.145.195 : 80 → 91.115.166.69 : 35604 [ACK SYN] len=44 ttl=116 tos=0x00
    19:51:27 Default DROP UDP 192.168.39.2 : 57902 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21


    Wo wir schon dabei sind, was bedeutet eigentlich der Logeintrag:
    Default DROP UDP 192.168.39.2 : 57898 → 192.168.39.1 : 8612 len=44 ttl=128 tos=0x00 srcmac=6c:f0:49:5:17:4e dstmac=40:61:86:1:ff:21

    Der kommt wenn ich das richtig sehe ca. alle 30 Sekunden.

    HTTP Live Log (ca. 3 Minuten lang, in dieser Zeit ist die Seite immer noch nicht aufgebaut):
    2010:11:09-20:00:35 astaro-hlinka httpproxy[4828]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.39.2" dstip="87.238.86.121" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="149 ms" request="0xaffef620" url="www.amazon.de/.../ref=topnav_na

    Ist es normal, dass da in der Zeit nur ein Eintrag kommt?

    Hoffe die Logs sind aussagekräftig ...

    Danke,
    Markus
  • Was ich vergessen habe zu sagen:
    Im Firefox habe ich keinen Proxy eingerichtet und auch keine Plugins oder Funktionen, die mir SSL-Zertifikate überprüfen (falls das der Falls wäre würde ich ja nicht mal auf die Seite kommen, wenn Scan HTTPS Trafic aktiviert ist ...).
  • Hallo,
    der letzte Beitrag hier ist ja schon eine Weile her, aber mich würde interssieren, ob es nun eine Lösung gab? Ich habe exakt dasselbe Problem, nur bei mir kommt noch hinzu, dass ich einen WLAN - Client im Heimnetz habe, bei dem aber alle https Webseiten funktionieren. Das Problem besteht bei meinen 2 über Kabel verbundenen Rechnern und äußert sich, wie bei dem Thread-Eröffner darin, dass ein Login bei z.B. Amazon nicht möglich ist. Sogar, wenn ich den Webfilter deaktiviere, ist kein Zugriff möglich... hat vielleicht noch jemand eine Idee? Ich nutze das Astaro Security Gateway in der aktuellsten Version.

    Vielen Dank im Voraus.
  • Hallo olaf81,

    Woran es genau lag kann ich dir leider nicht sagen ...

    Ein Update hat das Problem bei mir schließlich behoben, obwohl ich an meiner Konfiguration selbst nichts verändert habe.

    Aber was hast du denn unter Web Security eingestellt?
  • Habe gerade bemerkt, dass die beiden über Kabel verbundenen Rechner dann alle Webseiten korrekt anzeigen, wenn ich als Proxy im Firefox die IP der ASG mit Port 8080 angebe. Diese Einstellung ist aber bei dem WLAN-Client nicht vorhanden, dort ist die Einstellung auf "Proxy des Systems verwenden" aktiv, was ich noch nicht so recht verstehe...  

    Vor einigen Tagen hatte ich aber das https bei z.B. amazon aber noch nicht, obwohl dort die Einstellung auf "Proxy des Systems verwenden" stand...[:S]

    Alles sehr verwirrend..., aber vielleicht kann mich ja jemand aufklären..
  • Hallo Nuradon,
    ich habe eine Regel erstellt, sodass alle Clients in meinem Netz https-Seiten aufrufen können.., wobei ich dachte, dass das schon reichen würde. Allerdings geht es erst jetzt, nachdem ich manuell den Proxy im Firefox eingetragen habe. Dafür komme ich aber mit dem Firefox jetzt nicht mehr zur Astaro mit eingestelltem Proxy [8-)] Naja, dafür nutze ich dann den IE.

    Mir leuchtet nur absolut nicht ein, warum ich mit dem Notebook zu jeder Zeit auf alle https Seiten komme... am Betriebssystem kanns auch nicht liegen, habe auch schon Linux-Live CDs getestet...mit demselben Effekt.