Thread Info
  • State Not Answered
  • Replies 45 replies
  • Subscribers 0 subscribers
  • Views 37070 views
  • Users 0 members are here
Options
Suggested

[8.270][NOTABUG][CLOSED] Wireless AP not using HTTP Proxy

daniel4
I added a new Astaro Wireless AP and configured two SSIDs, a guest and a private one. The private SSID is bridged to the lan interface and is working correct.

The guest wlan should go though a HTTP proxy profile (profile config screenshot attached) . I can connect to the guest wlan and get an ip address. But if I try to browse to a website, I'll get an timeout and the HTTP proxy live log shows no entries.  I looked in the packed filter live log and saw that all wlan queries on port 80 were dropped there. 
So i configured a packet filter rule (screenshot attached)  to bypass the HTTP proxy.  I thought so. But with the activated packed filter rule the traffic is now proceeded by the HTTP proxy.

#update
The wlan net is the 192.168.2.0/24, i forgot to mention in first post. 

Currently I'm running 8.270, this weekend I'll update to 8.280.

#update 27.11.11
Now running 8.285, still the same situation. The web proxy runs in transparent mode, the 'Full transparent mode' is not activated. Changed config screenshot from http proxy, it was captured with temporarily activated 'Full transparent mode'. Sorry for that. As I said in some post below, the proxy runs only in transparent mode.

Here some logs:
http proxy log, no packed filter rule  

2011:11:16-18:51:23 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="188.111.53.33" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="35487" request="0x998ecd0" url="www.tagesschau.de/.../xml"

2011:11:16-18:51:57 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.68.225" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3925" request="0x9998708" url="services.dolphin-browser.com/.../api.ashx

2011:11:16-18:51:59 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="70.37.91.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2" request="0x99989d8" url="home.dolphin-browser.com/PromoLink.ashx

2011:11:16-18:52:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="89.207.18.81" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99c6040" url="altfarm.mediaplex.com/.../3484-46780-8030-52


packed filter log 
 

2011:11:16-18:50:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="30" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 

2011:11:16-18:51:37 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:39 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 

2011:11:16-18:51:45 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="74.125.39.188" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="40236" dstport="5228" tcpflags="SYN" 


and http proxy log, packed filter rule active 

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2178" request="0x99d1a40" url="image.spreadshirt.net/.../png"

2011:11:16-18:55:34 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.127" dstip="88.221.62.208" user="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="42294" request="0xc203c438" url="image.spreadshirt.net/.../png"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="204" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x99e4ca8" url="clients1.google.de/generate_204" exceptions="fileextension" error="" category="145" reputation="trusted" categoryname="Search Engines"

2011:11:16-18:56:08 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.120" user="" statuscode="200" cached="4" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="473" request="0x99e5310" url="www.gstatic.com/.../png" application="google"

2011:11:16-18:56:20 Ally httpproxy[6014]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.100" dstip="173.194.65.100" user="" statuscode="200" cached="0" profile="REF_HttProRemotWirel (Remote Wireless)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="278" request="0x99e55e0" url="clients1.google.de/.../search




2011:11:16-18:55:40 Ally ulogd[5034]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="wlan0" outitf="ppp0" srcmac="0:26:ba:91:55:98" dstmac="0:1a:8c:a:84:0" srcip="192.168.2.100" dstip="173.192.219.136" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="57065" dstport="5222" tcpflags="SYN" 

2011:11:16-18:55:55 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="32" initf="ppp0" outitf="eth0" srcmac="82:9d:23:5a:1:48" srcip="212.202.120.50" dstip="192.168.0.1" proto="6" length="52" tos="0x00" prec="0x00" ttl="50" srcport="51224" dstport="22" tcpflags="ACK" 

2011:11:16-18:55:58 Ally ulogd[5034]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="31" initf="eth0" outitf="ppp0" srcmac="0:9:34:0:2e:c9" dstmac="82:9d:23:5a:1:48" srcip="192.168.0.5" dstip="84.60.37.227" proto="6" length="56" tos="0x00" prec="0x00" ttl="63" srcport="2183" dstport="34001" tcpflags="ACK PSH" 
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.270
    Type: NOTABUG
    State: CLOSED
    Reporter: daniel4
    Contributor: BAlfson
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0

    The guest wlan should go though a HTTP proxy profile (profile config screenshot attached) . I can connect to the guest wlan and get an ip address. But if I try to browse to a website, I'll get an timeout and the HTTP proxy live log shows no entries.  I looked in the packed filter live log and saw that all wlan queries on port 80 were dropped there. 

    So i configured a packet filter rule (screenshot attached)  to bypass the HTTP proxy.  I thought so. But with the activated packed filter rule the traffic is now proceeded by the HTTP proxy.


    Weird.  Would you mind showing the output of the following commands:
    sysctl -a | grep tables

    ebtables -t broute -L --Lc
    iptables-save -c
    ipset list

    The last three commands may generate lots of text,
    if necessary, run them like this:
    ebtables -t broute -L --Lc > ebt.txt
    iptables-save -c > ipts.txt
    ipset list > ipset.txt

    Thanks.
  • 0 in reply to 67ef1d
    The packed filter rule was active when i ran the commands.

    Here are the results:
    sysctl -a | grep tables 

    net.bridge.bridge-nf-call-arptables = 0

    net.bridge.bridge-nf-call-iptables = 0

    net.bridge.bridge-nf-call-ip6tables = 0


    ebtables -t broute -L --Lc 

    Bridge table: broute

    

    Bridge chain: BROUTING, entries: 2, policy: ACCEPT

    -p IPv4 --logical-in br0 -j BROUTE4, pcnt = 0 -- bcnt = 0

    -p IPv4 --logical-in wlan0 -j BROUTE4, pcnt = 0 -- bcnt = 0

    

    Bridge chain: BROUTE4, entries: 12, policy: ACCEPT

    -p IPv4 --ip-src 192.168.2.0/24 --ip-proto tcp --ip-dport 80 -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-src 192.168.2.0/24 --ip-proto icmp -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-src 192.168.0.0/24 --ip-proto tcp --ip-dport 80 -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-src 192.168.0.0/24 --ip-proto icmp -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-dst 192.168.2.0/24 --ip-proto tcp --ip-sport 80 -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-dst 192.168.2.0/24 --ip-proto icmp -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-src 192.168.2.0/24 --ip-proto tcp --ip-dport 80 -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-src 192.168.2.0/24 --ip-proto icmp -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-src 192.168.0.0/24 --ip-proto tcp --ip-dport 80 -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-src 192.168.0.0/24 --ip-proto icmp -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-dst 192.168.2.0/24 --ip-proto tcp --ip-sport 80 -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0

    -p IPv4 --ip-dst 192.168.2.0/24 --ip-proto icmp -j redirect  --redirect-target DROP, pcnt = 0 -- bcnt = 0


    For iptables-save -c and ipset list see attachmend.
    ipset_iptables_logs.zip
  • 0 in reply to daniel4
    I've updated to the lastes version 8.281, and still the same. No guest wlan though the http proxy if there is no packet filter rule.

    Here is another screenshot from the packet filter live log. The wlan client has the ip address 192.168.2.100. Until 18.48.24 the packet filter rule was deactivated and the packes were dropped. Then i activeted the packet filter rule, and packet were processed by the packet filter and by the http proxy.
  • 0
    Daniel, are you sure you have 192.168.2.0/24 or "Internal (Network)" in 'Allowed networks' in Web Security?  Is the Proxy in a "Transparent" mode?

    CHeers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes I'm sure and yes the proxy is in transparent mode.
    I tried with an without full transparent mode in the profile.
    Here is an screen shot from the general http proxy and from the profile settings. I also tried to add the wireless network directly in web security, my normal configuration is like the screen shot shown in 'http proxy 1'.
  • 0
    Daniel, I think I see the issue.  In 'Full Transparent' mode, your browsing request is leaving the HTTP Proxy with a source IP of 192.168.2.100 instead of with the IP of "External (Address)".  Then, the packet is dropped out of the FORWARD chain ("60002") until you put a packet filter rule in to allow it to go out.  When it goes out, since the source IP is a private IP, the internet doesn't know how to route the webserver's response back to you.  That's why your browser just times out.

    In the profile, uncheck 'Full Transparent' and see if things don't start to work correctly.

    In Astaro, in general, DNATs come before Proxies come before manual Firewall rules and Static Routes.  That's why your packet filter (firewall) rule didn't let the browsing request avoid the Proxy.  If you want to avoid the Proxy in a "Transparent" mode, you have to use the 'Transparent mode skiplist' on the 'Advanced' tab.

    Did that resolve the issue?

    Cheers - Bob
    PS I just looked back at your very first post, and it is so well documented that 69ef1d and I should have seen this earlier.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I've initial configured the proxy profile with disabled 'Full transparent'.  

    I changed it back it unchecked, but no difference.
  • 0
    All of the logfile lines you showed don't indicate that.  Can you show the Packet Filter (Firewall) log with the profile not in 'Full' and your new Packet Filter rule disabled?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    here is the new log, i try to connect around 23:17

    Also i run these commands again and added the output:
    sysctl -a | grep tables
    ebtables -t broute -L --Lc
    iptables-save -c
    ipset list
Unfiltered HTML