Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 1 subscriber
  • Views 48391 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot Access iTunes Over the Web Proxy

UweT
Hi there,

we are using ASG320 with v.7.509 plus the web filter/proxy for our users on port 8080 (not transparent).

But the users are not able to connect to iTunes. Every time they open iTunes on their PCs (Win XP) there is this logon window to enter username/password for the proxy. 
It seems that iTunes uses the Internet Explorer connection settings.

Without the web filter port usage (disable proxy settings within IE) iTunes is able to connect. But we have to realise it with the web filter!

We have disabled IPS on the Astaro but it still doesn't work.
We have added apple.com to the web proxy's exception list (everything excluded) but still no success. iTunes TCP/UDP ports 3689 and 5353 have been added to the allowed services in the advanced web proxy settings already.

Does anyone have a solution for this issue?

Thank you in advance!
--Uwe


This thread was automatically locked due to age.
  • 0


    Nothing being blocked from this iPad in the firewall logs.


    Maybe because  it is in ips log
  • 0 in reply to Ol Deda
    Maybe because  it is in ips log


    Nothing being blocked in the IPS logs either.  This is a HTTPS content filtering issue and the fact that the iPad is using an IP address and not a FQDN in the request (i.e. https://X.X.X.X vs. https://somedomainname.apple.com).

    However, how can I allow this traffic through the content filter without shutting off SSL filtering and allowing everything to the IP addresses being used by iOS?
  • 0
    I had the same problem with App Store not working & it because the app requests a website using IP address not FQDN. If you configure an exception so that websites referenced by IP address skip SSL scanning then it works. This exception may be a little broad for some but can be achieved with the following regular expression: ^https?://[0-9]*\.[0-9]*\.[0-9]*\.[0-9]*

    I'm not sure if apple use only a single IP and therefore you could just limit that one, but even if you do it is likely to change & therefore stop working at some point in the future.
  • 0
    So, your solution was to allow anyone to go any HTTPS site as long as they put the IP address in instead of the URL?  

    I was able to get the iTunes store to connect and to actually work by opening somewhere between 10-20 sites.

    Tech support has a list of sites to put in the exception list to get it to work but it does not cover all the sites needed.  Wish they would update the list they send or just stop sending it like it was supposed to fix the problem. 

    I have had to poke numerous holes into the filter to get various program to work properly, iTunes was just the most annoying.
  • 0 in reply to TXGARobert@Home
    So, your solution was to allow anyone to go any HTTPS site as long as they put the IP address in instead of the URL?  


    No, that was way too broad for me... I'm working on getting all the IP addresses iTunes uses and adding them to the exception list.
  • 0
    Hi Guys,
    so does anyone have a working solution for this?
  • 0 in reply to fez
    Hi Guys,
    so does anyone have a working solution for this?


    Not that I've found yet.

    What did I notice with another program (Smart Notebook) was the same thing happening.  The reason that one was popping up was it actually loaded a "local" ip website as its start/welcome page internally.  Adding that "local" ip (127.0.0.1) to the proxy's "do not use proxy for addresses beginning with..." allowed it to go to that local address and not prompt any longer.  

    I imagine the thing could be done for itunes however I'm not sure if it's accessing a local IP like the other was.
  • 0 in reply to ntoupin
    Hi guys not sure if anyone got iTunes to work successfully with Sophos UTM in the end but after googling till my fingers bled I gave this a shot and it worked.

    Go into the Webmin and edit the exception list 'Web Protection/Filtering Options/Exceptions' open up the 'Apple Update' exception and tick 'Authentication' under what to 'skip' [:)] and now you should find that iTunes doesn't ask for a username and password anymore.
  • 0 in reply to skoobiedoo
    Hi guys not sure if anyone got iTunes to work successfully with Sophos UTM in the end but after googling till my fingers bled I gave this a shot and it worked.

    Go into the Webmin and edit the exception list 'Web Protection/Filtering Options/Exceptions' open up the 'Apple Update' exception and tick 'Authentication' under what to 'skip' [:)] and now you should find that iTunes doesn't ask for a username and password anymore.


    Hi, I am stuck here with the same issue, can you give me more details of how did you sort out this?
  • 0
    I know it is late to the game here, but i've run into this issue and found the workaround that, at least, worked for me. Here's the step by step:

    In my scenario, I am using Web Filtering in Standard Mode.

    Web Protection -> Filtering Options -> Exceptions (tab): 
    Create an Exception that skips checks for: 
    Authentication, Caching, Antivirus, Extension Blocking, MIME Type Blocking, URL Filter, Content Removal, SSL Scanning
    Set this for the following target domains: 
    ^(https?://)?([A-Za-z0-9.-]*\.)?apple.com
    ^(https?://)?([A-Za-z0-9.-]*\.)?edgesuite.net
    ^(https?://)?([A-Za-z0-9.-]*\.)?mzstatic.com

    Now create an Application Control Rule under Web Protection -> Application Control -> Application Control Rules (tab): 
    I called it iTunes and set it to Accept and Log for Applications: 
    Quicktime, iCloud, Apple Maps, Apple Update, Apple and iTunes. For the Source Networks that were related to the affected users.

    Once these are done and enabled, this was the kicker part that I wasn't aware of due to no block messages coming my way.

    Back in Web Protection -> Filtering Options -> Misc (tab) -> Allowed Target Services section, you need to create/add the following service list to this for iTunes to work properly: 
    3689, 5297, 5298, 5353, 8000-8999, and 42000-42999

    I hope this helps someone else other than me.

    For the tech article explaining the domains and ports, see here: https://support.apple.com/en-us/HT203361

    Edit 1: Cleanup formatting
    Edit 2: Add Apple Support article
    Edit 3: Fixed the Target Domains for the Web Protection Exception, removing duplicated entries and fixing where beginning of line character (^) was located after testing on Debuggex.
Unfiltered HTML