Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 5012 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS läuft nicht mit übergeordneten Proxy

JörgS.
Proxy und HTTPS....ein Problem hier im Forum x-mal bereits gepostet, doch bisher nicht wirklich eine brauchbare Lösung gefunden. [:(]

Wir wollen hier in einer Unterabteilung/Zweigstelle über eine ASG eine Einschränkung des Internet-Verkehrs bewirken. Leider sind wir "gezwungen" für den eigentlichen Sprung ins Internet den Proxy im RZ der Hauptniederlassung zu verwenden. Außerdem müssen wir im Volltransparent-Modus arbeiten, da in der Hauptniederlassung für jeden Rechner ein IP-basierendes Zeit- bzw. Datenkontingent eingerichtet ist. D.h. im RZ bzw. dort am Proxy muss immer die eigentliche IP-Adresse des Rechners ankommen.

Wir haben dies probeweise nun an einem ASG soweit eingerichtet (nach den zahlreichen Anleitungen hier im Forum) und es funktioniert auch (fast) korrekt. Nur man kann eben keine HTTPS-Seiten aufrufen, hier kommt immer die IE-Windows-Fehlermeldung, dass diese Seitenanforderung nicht bzw. vom Proxy nicht unterstützt wird. Nur wenn man den ASG-Proxy in den Internetoptionen des IE fest einstellt, dann funktioniert es. Aber in diesem Fall haben wir dann keinen volltransparenten Modus mehr, sondern am übergeordneten Firmen-Proxy kommt die IP des ASG-Proxy an. Was machen wir falsch oder welcher andere Lösungsansatz könnte uns hier weiterhelfen? [:S]


This thread was automatically locked due to age.
  • 0
    Um mal das offensichtliche auszuschliessen:
    Hast du im HTTP Proxy SSL-scanning aktiviert? Ansonsten ignoriert der Proxy SSL Traffic im (voll) transparenten modus.
  • 0 in reply to ulmi
    Alles schon versucht. Wenn das Scanning aktiv geschaltet ist, dann kommt nach dem Hinweis, dass es sich vermutlich um eine unsichere Seite handelt, eine Fehlermeldung vom ASG (sieht man am Styling der Webseite mit Astaro-Logo in orange/schwarz). Hier heißt es dann nur - Input/Output-Error. [:S]
  • 0
    Nur mal zur Überprüfung :

    - keine Regel im Paketfilter die besagt sinngemäß besagt:  lan --> https --> any ?

    - http-proxy in der ASG eingeschaltet ?

    - Netzwerk definiert welches den Proxy nutzen darf

    - Proxy auf transparent gestellt?

    - Haken bei Scan HTTPS Traffic gesetzt?

    - Zertifikat der Astaro im Webbrowser des Client Rechners installiert?

    - HTTPS Live-Log, was geht raus? Kommen Fehler?

    Eigentlich sollten dies alle Schritte gewesen sein.
  • 0
    (Sorry, my German-speaking brain isn't working at the moment.)

    "Transparent" and "Full transparent mode" are two different things.

    In "Transparent" mode, the Proxy captures HTTP (and, using ulmi & tetris' tip, HTTPS) traffic, applying URL Filtering and proxying.

    In "Full transparent mode," the proxy sends HTTP request packets with the IP of the client as the source-IP.  This can be useful, for example, when the clients have public IPs.

    MfG - Bob (Bitte, auf Deutsch weiterhin!)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Diese Einträge sind im Protokoll zu finden:

    2011:08:02-10:02:35 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4581" time="40 ms" request="0x8302c10" url="facebook.com/.../output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="send_request_headers" file="request.c" line="171" message="write: Input/output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4603" time="49 ms" request="0x8302c10" url="facebook.com/.../output error"
    2011:08:02-10:02:36 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8302c10" function="ssl_read" file="ssl.c" line="786" message="SSL_ERROR_SYSCALL: ret=-1 error=Connection reset by peer"
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="ssl_log_errors" file="ssl.c" line="47" message="S 192.168.2.4: 6017:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:585:
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8307388" function="send_request_headers" file="request.c" line="171" message="write: Input/output error"
    2011:08:02-10:02:39 Test_Proxy httpproxy[6017]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="192.168.2.4" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4581" time="233 ms" request="0x8307388" url="facebook.com/.../output error"


    Im angefügten Screenshot sieht man dann die Fehlermeldung im Webbrowser.

    Wer könnte uns hier evtl. noch weitere Lösungsvorschläge geben??? [:S]
  • 0
    It seems that the Astaro and your upstream proxy don't agree on something (stauscode="502").  Have you uploaded the Signing CA of your upstream proxy into the Astaro on the 'HTTPS CAs' tab?

    MfG - Bob (Bitte, auf Deutsch weiterhin!) 
    PS If that wasn't it, maybe this might give you an idea: https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70368
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Leider haben wir bisher keine CA des übergeordneten Proxy in das ASG eingetragen. Es handelt sich dabei um einen SQUID-Proxy, auf welchen wir leider keinerlei administrativen Zugriff haben. Wir könnten wir denn die CA auslesen und wie/wo trage ich diese dann im ASG entsprechend ein. [:S]
  • 0 in reply to JörgS.
    Wir haben nun testweise mal einen öffentlichen Proxy (Telekom) als übergeordeten Proxy im ASG eingetragen und siehe da, hier funktionert es dann plötzlich. Man kann dies aber auch nicht verallgemeinern, da wenn man z.b. einen anderen, weniger bekannten öffentlichen Proxy als übergeordneten Proxy einträgt, dann kommt der gleiche Fehler wie wenn wir unseren firmeneigenen Proxy als übergeordneten im ASG einstellt. Was ist hier die Ursache an dem unterschiedlichen Verhalten bei den verschiedenen öffentlichen Proxys und dem ASG. Vielleicht würde dies auch weiterhelfen, die Problematik mit dem firmeneigenen Proxy einzugrenzen oder zu lösen. [:@]
  • 0 in reply to JörgS.
    Kann mir denn niemand einen Tipp geben, wie ich die CA aus dem übergeordneten Squid-Proxy auslesen könnte, um sie dann in das ASG entsprechend einzutragen???  [:S]
  • 0
    Doch: Wenn Du im Browser den Parent-Proxy als zu benutzenden Proxy einträgst (und kein anderer Proxy im transparenten Modus dazwischen liegt), wird der Browser Dich beim Aufruf der nächsten SSL-Seite darauf hinweisen, dass er der CA des Parent-Proxies nicht vertraut - und Dir im selben Schritt anbieten, ihr dennoch zu vertrauen und sie in die lokale Liste vertrauenswürdiger CAs aufzunehmen.

    Von dort aus (aus dem Browser) kannst Du sie dann exportieren und dann wiederum im ASG HTTP-Proxy importieren (PEM Format).

    Am einfachsten geht das mit dem Firefox, beim IE müsstest Du dafür die Windows MMC mit dem Zertifikatsmanagement-SnapIn verwenden.
Unfiltered HTML