Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 9959 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Crossdomain Access Denied

rsenio
I've got an issue with a few sites. I'll place an example here. Proxy is setup as a standard proxy, wpad/pac file from the UTM, Active Directory Auth, DHCP option 252. A second transparent proxy is second on the list for those guests that get DHCP from a guest wifi router, no Auth, and no option 252.

If I visit Rogers Place – Live View – Concourse Camera using the standard proxy, I get "Cannot load m3u8. Crossdomain access denied"

If I hook up to the guest wifi, and surf through the transparent proxy it works.

In my auto config I've tried 
if (shExpMatch(url, "http://*rogersplace.com/*")) return "DIRECT";

But the traffic still appears in my log. And I've also tried an exception (filtering options-exceptions) selecting all the options. Still not working, same error. What's going on?

I have also noticed that the download manager for Solidworks didn't work as well. I tried the same exception in the wpad/pac file, but it didn't work until I made an exception (filtering options-exceptions)

When traffic is DIRECT, it should bypass the proxy all together no?


This thread was automatically locked due to age.
  • 0
    Dug a little deeper on the live stream, captured the packets and saw that it was hitting port  1935. I added that to the Allowed Targeted Services, and it worked. Still don't get why it wasn't just bypassed, same as the Solidworks issue
  • 0
    When you use an explicit Proxy, your browser ships the web request to the Proxy on port 8080 and includes extra information for the Proxy to be able to handle your request.  Adding 1935 was the correct solution.

    Plainly your PAC file didn't assign DIRECT to the Solidworks request, so you might try erasing the lines relates to that and starting over.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes,I realize running standard proxy mode will cause the browser to send request to the UTM on 8080, and adding the port makes sense. 

    However, I'm not clear on what you mean about the Solidworks issue. I've added lines, exactly like I added the lines for rogersplace but it didn't work. 

    I ended up adding:
    im.solidworks.com
    im-ak.solidworks.com
    dl-ak.solidworks.com

    to the exception list for Authentication, Block by download size / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / SSL scanning

    But why wouldnt the WPAD line if (shExpMatch(url, "http://*solidworks.com/*")) return "DIRECT"; work?
  • 0
    If the accesses to solidworks are supposed to bypass the proxy, I would remove the Exceptions for it just to keep the configuration clean.

    I don't know why it didn't work, but it obviously didn't because your browser sent the request to the Proxy instead of Direct.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    If the accesses to solidworks are supposed to bypass the proxy, I would remove the Exceptions for it just to keep the configuration clean.

    I don't know why it didn't work, but it obviously didn't because your browser sent the request to the Proxy instead of Direct.

    Cheers - Bob


    Lol, what I am saying is that without the exception it does not work. Solidworks has it's own download manager, it doesn't use the browser to download updates. I would have assumed that with the wildcard address set to direct that the application would pass through the proxy without issue.

    So what I have is correct for bypassing?
    if (shExpMatch(url, "http://*solidworks.com/*")) return "DIRECT";
  • 0
    No, because you don't have correct RegEx synatx...
    "http://.*\.solidworks\.com/" would basically fit.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    No, because you don't have correct RegEx synatx...
    "http://.*\.solidworks\.com/" would basically fit.


    Thats the syntax for the auto config pac/wpad?

    Here is what I have now....so all the "direct" options have the wrong syntax?

    function FindProxyForURL(url, host) {
        //Don't proxy connections to the UTM web interface
        if (shExpMatch(url, "https://${asg_hostname}*")) return "DIRECT";
        if (shExpMatch(url, "https://" + dnsResolve(host) + "*")) return "DIRECT";
        //Exclude non-fqdn hosts from being proxied
        if (isPlainHostName(host)) return "DIRECT";
        //Don't proxy connections to the exempted URL matches
        if (shExpMatch(url, "*.local/*")) return "DIRECT";
        if (isInNet(host, "192.168.0.0", "255.255.0.0")) return "DIRECT";
        if (shExpMatch(url, "http://192.168.30.*")) return "DIRECT";
        if (shExpMatch(url, "http://192.168.40.*")) return "DIRECT";
        if (shExpMatch(url, "http://192.168.50.*")) return "DIRECT";
        if (shExpMatch(url, "http://192.168.51.*")) return "DIRECT";
        if (shExpMatch(url, "http://192.168.52.*")) return "DIRECT";
        return "PROXY sophosutm.cc.local:8080";
    }


    Hmm...bottom of this page uses similar syntax as to what I had
    https://www.websense.com/content/support/library/web/v76/pac_file_best_practices/PAC_best_pract.aspx
  • 0
    I tested by adding the line 

    if (shExpMatch(url, "http://.*\.solidworks\.com/")) return "DIRECT";

    right before the "return proxy" line. This must not be valid, as internet explorer was no longer using the proxy at all.
Unfiltered HTML