none
SSL-tunnel Failed Connection Attempt - back-end firewall RRS feed

  • Pergunta

  • Fala pessoal, tudo bem?

    Estou montando uma nova estrutura na rede onde trabalho com dois ISA Server 2006, fazendo esquema back-to-back firewall.

    Tudo estava correndo bem quando eu comecei a tentar navegar em sites HTTPS: aparece essa mensagem no log do firewall:

    Protocol: SSL-tunnel

    Action: Failed Connection Attempt

    Na regra criada para liberar o acesso, coloquei tanto HTTP quanto HTTPs. Esse problema está acontecendo somente no firewall back end e na rede local atrás dele. No firewall front-end, testei acessando diretamente dele, e funciona. A navegação HTTP está ok em ambos os casos.

    Procurei em toda net a respeito disso e o que encontrei foram informações meio confusas a respeito disso, por isso gostaria de pedir a ajuda de vocês.

     

    Obrigado.

     

    Fábio

    terça-feira, 28 de dezembro de 2010 19:23

Todas as Respostas

  • Fala Fábio beleza?

    Falando assim é um pouco complicado, todo troubleshooting no ISA, ainda mais de conexão o melhor mesmo é olhar, dentro da guia Monitoring / Logging, quando testar o acesso.

    Quando fizer isso, copie os resultados em um txt e me envie, ai posso te ajudar mais. Mas antes da uma olhada nos dois firewalls, inicia o monitoramento nos 2 servidores (back e egde) configurando somente com o ip do cliente da rede interna que esta fazendo o acesso, e veja se alguma coisa está sendo bloqueada.

    Abraços....


    Se ajudei favor marcar minha resposta como solução, Obrigado.
    terça-feira, 28 de dezembro de 2010 20:28
  •  

    Fala Thiago, tudo bem?

    Primeiramente, obrigado pela disposição em ajudar! Vamos lá, primeiro o log do back-end firewall, que é onde está ocorrendo o problema:

    Original Client IP Client Agent Authenticated Client Service Server Name Referring Server Destination Host Name Transport MIME Type Object Source Source Proxy Destination Proxy Bidirectional Client Host Name Filter Information Network Interface Raw IP Header Raw Payload GMT Log Time Source Port Processing Time Bytes Sent Bytes Received Result Code HTTP Status Code Cache Information Error Information Log Record Type Authentication Server Log Time Destination IP Destination Port Protocol Action Rule Client IP Client Username Source Network Destination Network HTTP Method URL

    0.0.0.0 Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10 Yes Proxy FW01  www.google.com TCP  Internet - -  - Req ID: 0d8883aa; Compression: client=No, server=No, compress rate=0% decompress rate=0% - - - 12/28/2010 9:46:36 PM 0 0 835 0  10060  0x0 0x40 Web Proxy Filter  12/28/2010 7:46:36 PM 64.233.163.104 443 SSL-tunnel Failed Connection Attempt HTTPS 172.11.1.38 anonymous Internal External  www.google.com:443

     

    No servidor externo, relatou o seguinte:

    Original Client IP Client Agent Authenticated Client Service Server Name Referring Server Destination Host Name Transport MIME Type Object Source Source Proxy Destination Proxy Bidirectional Client Host Name Filter Information Network Interface Raw IP Header Raw Payload GMT Log Time Source Port Processing Time Bytes Sent Bytes Received Result Code HTTP Status Code Cache Information Error Information Log Record Type Authentication Server Log Time Destination IP Destination Port Protocol Action Rule Client IP Client Username Source Network Destination Network HTTP Method URL

    192.168.1.250    FW02 -  TCP -      -    12/28/2010 8:02:54 PM 8601 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 12/28/2010 6:02:54 PM 64.233.163.100 80 HTTP Initiated Connection HTTP 192.168.1.250  Perimeter External - -

    187.115.130.2    FW02 -  TCP -      -    12/28/2010 8:02:54 PM 4649 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 12/28/2010 6:02:54 PM 64.233.163.100 80 HTTP Initiated Connection  187.115.130.2  Local Host External - -

    0.0.0.0 Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10 Yes Proxy FW02  64.233.163.100 TCP  Internet - -  - Req ID: 059c687c; Compression: client=No, server=No, compress rate=0% decompress rate=0% - - - 12/28/2010 8:02:55 PM 0 234 507 866  200  0x61220010 0x400 Web Proxy Filter  12/28/2010 6:02:55 PM 64.233.163.100 80 http Allowed Connection HTTP 192.168.1.250 anonymous Perimeter External GET http://64.233.163.100/complete/search?client=chrome&hl=pt-BR&q=gm

    192.168.1.250    FW02 -  TCP -      -    12/28/2010 8:02:55 PM 8603 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 12/28/2010 6:02:55 PM 64.233.163.83 80 HTTP Initiated Connection HTTP 192.168.1.250  Perimeter External - -

    187.115.130.2    FW02 -  TCP -      -    12/28/2010 8:02:55 PM 4650 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 12/28/2010 6:02:55 PM 64.233.163.83 80 HTTP Initiated Connection  187.115.130.2  Local Host External - -

    0.0.0.0 Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10 Yes Proxy FW02  64.233.163.83 TCP  Internet - -  - Req ID: 059c687f; Compression: client=No, server=No, compress rate=0% decompress rate=0% - - - 12/28/2010 8:02:55 PM 0 219 1050 999  302  0x413c0010 0x400 Web Proxy Filter  12/28/2010 6:02:55 PM 64.233.163.83 80 http Allowed Connection HTTP 192.168.1.250 anonymous Perimeter External GET http://64.233.163.83/mail/

    192.168.1.250    FW02 -  TCP -      -    12/28/2010 8:02:56 PM 8604 0 0 0 0x0 ERROR_SUCCESS  0x0 0x0 Firewall - 12/28/2010 6:02:56 PM

    64.233.163.104 443 HTTPS Initiated Connection HTTP 192.168.1.250  Perimeter External - -

    E não aparece mais nada.

    Quando eu acesso direto do edge firewall, a conexão ocorre sem problemas. Outra coisa, a configuração do proxy está apontando para o back firewall, porta 8080. O back fw tem como DG a interface da DMZ do egde firewall.

    Abraços,

     

    Fábio

     


    Fábio Florencio
    terça-feira, 28 de dezembro de 2010 22:13
  • Fabio, tem como me enviar o log completo por email, seleciona todos os resultados de ambas as capturas e me envia no email thiago.gio@hotmail.com assim consigo entender melhor, por aqui está um pouco complicado, mas acredito que possamos resolver.

    Valeu....

    Abraços


    Se ajudei favor marcar minha resposta como solução, Obrigado Thiago Di Giorgio
    terça-feira, 28 de dezembro de 2010 22:26
  • Opa, mandei lá!

    Abraço


    Fábio Florencio
    quarta-feira, 29 de dezembro de 2010 00:27