Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 690 views
  • Users 0 members are here
Options
Suggested

[7.480][QUESTION][OPEN] Transparent HTTP/S Proxy on a Bridge with VLANs

MBirdCZ
I'm currently playing with the new beta and building a hypotetical configuration of transparent/fully transparent HTTP/S proxy on a trunk connection before the traffic reaches the border firewall which has no application security.

If I have bridge configured with standard ethernet config and one network, the HTTP proxy in transparent mode intercepts the traffic and filtering works without problems.

As soon as I convert the bridge to VLAN interface and add the other VLANs to it the transparent HTTP/s proxy ceases to work. In STANDARD mode the proxy works though... But for the intended deployment the transparent proxy would be required.

Is this type of setup actually doable on Astaro?

Regards,
Zdenek
Parents
  • 0
    "convert the bridge to VLAN interface" - can you be more precise about this - I didn't know that it was possible to configure VLANs on bridged interfaces.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Well it is possible, at least the web admin allows you to do so and in the shell it also looks OK. Plus for normal traffic it also works...

    Which means that I did create a bridge from two interfaces while one of them was at the beginning already defined as Ethernet Standard. While creating the bridge this interface was used for conversion while creating the bridge.

    So the br0 interface was then also "ethernet standard". But since the traffic passing through that bridge is a tagged VLAN trunk containing several VLANs in order to retain the ability to manage the gateway (which only has 2 physical interfaces) changing the br0 from ethernet standard to ethernet VLAN had to be done.

    This was finished successfully. Traffic could pass through the gateway.

    However after enabling WebSecurity in transparent/fully transparent mode the Proxy seems to miss all the traffic and pages in browser just time-out.

    With proxy disabled http traffic passes through without inspection and browsing on clients works.

    So it seems that this setup at this point is a no-go because the proxy in transparent mode seems to have problems with 802.1q traffic.

    Regards,
    Zdenek
Reply
  • 0 in reply to BAlfson
    Well it is possible, at least the web admin allows you to do so and in the shell it also looks OK. Plus for normal traffic it also works...

    Which means that I did create a bridge from two interfaces while one of them was at the beginning already defined as Ethernet Standard. While creating the bridge this interface was used for conversion while creating the bridge.

    So the br0 interface was then also "ethernet standard". But since the traffic passing through that bridge is a tagged VLAN trunk containing several VLANs in order to retain the ability to manage the gateway (which only has 2 physical interfaces) changing the br0 from ethernet standard to ethernet VLAN had to be done.

    This was finished successfully. Traffic could pass through the gateway.

    However after enabling WebSecurity in transparent/fully transparent mode the Proxy seems to miss all the traffic and pages in browser just time-out.

    With proxy disabled http traffic passes through without inspection and browsing on clients works.

    So it seems that this setup at this point is a no-go because the proxy in transparent mode seems to have problems with 802.1q traffic.

    Regards,
    Zdenek
Children
No Data
Unfiltered HTML