Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 5007 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS läuft nicht mit übergeordneten Proxy

JörgS.
Proxy und HTTPS....ein Problem hier im Forum x-mal bereits gepostet, doch bisher nicht wirklich eine brauchbare Lösung gefunden. [:(]

Wir wollen hier in einer Unterabteilung/Zweigstelle über eine ASG eine Einschränkung des Internet-Verkehrs bewirken. Leider sind wir "gezwungen" für den eigentlichen Sprung ins Internet den Proxy im RZ der Hauptniederlassung zu verwenden. Außerdem müssen wir im Volltransparent-Modus arbeiten, da in der Hauptniederlassung für jeden Rechner ein IP-basierendes Zeit- bzw. Datenkontingent eingerichtet ist. D.h. im RZ bzw. dort am Proxy muss immer die eigentliche IP-Adresse des Rechners ankommen.

Wir haben dies probeweise nun an einem ASG soweit eingerichtet (nach den zahlreichen Anleitungen hier im Forum) und es funktioniert auch (fast) korrekt. Nur man kann eben keine HTTPS-Seiten aufrufen, hier kommt immer die IE-Windows-Fehlermeldung, dass diese Seitenanforderung nicht bzw. vom Proxy nicht unterstützt wird. Nur wenn man den ASG-Proxy in den Internetoptionen des IE fest einstellt, dann funktioniert es. Aber in diesem Fall haben wir dann keinen volltransparenten Modus mehr, sondern am übergeordneten Firmen-Proxy kommt die IP des ASG-Proxy an. Was machen wir falsch oder welcher andere Lösungsansatz könnte uns hier weiterhelfen? [:S]


This thread was automatically locked due to age.
Parents
  • 0
    (Sorry, my German-speaking brain isn't working at the moment.)

    "Transparent" and "Full transparent mode" are two different things.

    In "Transparent" mode, the Proxy captures HTTP (and, using ulmi & tetris' tip, HTTPS) traffic, applying URL Filtering and proxying.

    In "Full transparent mode," the proxy sends HTTP request packets with the IP of the client as the source-IP.  This can be useful, for example, when the clients have public IPs.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Diese Einträge sind im Protokoll zu finden:

    2011:08:02-10:02:35 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4581" time="40 ms" request="0x8302c10" url="facebook.com/.../output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="send_request_headers" file="request.c" line="171" message="write: Input/output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4603" time="49 ms" request="0x8302c10" url="facebook.com/.../output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_read" file="ssl.c" line="786" message="SSL_ERROR_SYSCALL: ret=-1 error=Connection reset by peer"
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="send_request_headers" file="request.c" line="171" message="write: Input/output error"
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4581" time="233 ms" request="0x8307388" url="facebook.com/.../output error"


    Im angefügten Screenshot sieht man dann die Fehlermeldung im Webbrowser.

    Wer könnte uns hier evtl. noch weitere Lösungsvorschläge geben??? [:S]
Reply
  • 0 in reply to BAlfson
    Diese Einträge sind im Protokoll zu finden:

    2011:08:02-10:02:35 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4581" time="40 ms" request="0x8302c10" url="facebook.com/.../output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="send_request_headers" file="request.c" line="171" message="write: Input/output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4603" time="49 ms" request="0x8302c10" url="facebook.com/.../output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_read" file="ssl.c" line="786" message="SSL_ERROR_SYSCALL: ret=-1 error=Connection reset by peer"
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="send_request_headers" file="request.c" line="171" message="write: Input/output error"
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4581" time="233 ms" request="0x8307388" url="facebook.com/.../output error"


    Im angefügten Screenshot sieht man dann die Fehlermeldung im Webbrowser.

    Wer könnte uns hier evtl. noch weitere Lösungsvorschläge geben??? [:S]
Children
No Data
Unfiltered HTML