Astaro Gateway between ISP and ASA

Probably, you'll want to bridge two Astaro interfaces.  In fact, you likely could sell your 5510 and do everything more easily and less expensively with the Astaro, but you'll need to prove that to yourself and, possibly, others.

It depends on what "other stuff" you want to do whether the Astaro should be in front of, or behind the Cisco.  That also will tell us whether you should bridge or NAT or use the Astaro as a router.

Cheers - Bob

i would love to get rid of the ASA...  we also have a SOPHOS Web Appl. for web filtering that was put in last summer.  I am the sys admin for a private catholic high school.  Probably one of the most hostile IT environments around..  [:D]

Anyway, the ASA and the SOPHOS do most of the work.  And I know I can replace both with this one item but that isn't my call... but If I can show more of some of its functions I may be able to next school year.  I am mainly looking at (right now) web application control because the kids know how to get around the SOPHOS with things like TOR.. and they are permitted to bring in personal laptops so I can't control them with AD.  And then the Anti Intrusion stuff..  maybe email if I can use it on that side of the firewall..

What do you think... ??

I htink if you show them the costs of the astaro vs cisco alone that's going to sway them..npos are notoriously cheap..[[:)]]  Secondly, nothing against sophos directly but there's a reason sophos bouht out astaro..[[:)]]  I think you might want to get a reseller involved...the astaor cna most assuredly take over everything..with it's applicaiton control, a/v, content filtering, etc etc etc.  what i would do is get a hold of a reseller and ask for a 30 applaince eval that is suitably sized for your usage at your church.  i think once it is setup i place of everything else and working the church is oging to be blown away..it will sell itself.  I don't know where you are at..but here's a list of phone numbers by region:
Americas HQ: +1-781-494-5800
EMEA HQ: +49-721-255160
Asia: +65-622-72700
Australia: +61-2-8415-9882
Benelux: +31-104-133292
France: +33-1-70060544
India: +91-124-4711901
Italy: +39-347-395-9817
Japan: +81-3-4360-5506
Switzerland: +41-52-624-1656
UK: +44-1372-860820

You have two options for your network, both of which would leave the Cisco ASA as the default gateway:

1. Bridge the External (WAN) and Internal Ethernet interfaces
2. Use Proxy ARP on both the External (WAN) and Internal Ethernet interfaces, and add static interface routes for the public IP addresses you want to use on the Internal interface

Up to you really!

You definitely need to get a reseller involved.  Presently, the App Control capability is a part of the Web Security subscription.  I would use the HTTP/S Proxy in Web Security to block tors, etc.

In fact, you can use DHCP (from Astaro or your Windows server) to distribute a Proxy Auto-Configuration (PAC) file in order to be able to force your clients' use of the Astaro Web Proxy in "Standard" mode where HTTPS accesses also are controllable without any manual changes on the clients.

Having said that, I believe you can block tor usage with your Sophos device.  Look in Configuration, Global Policy, Dynamic Categorization where you should turn on the "Anonymizers" option.  I assume you've already blocked the "Proxies and Translators" category.

Again, I suspect that you can make the case for selling off the Sophos and Cisco devices in favor of an Astaro, but I would urge you to have Astaro put you in contact with a knowledgable reseller.

Cheers - Bob

Again, I suspect that you can make the case for selling off the Sophos and Cisco devices in favor of an Astaro, but I would urge you to have Astaro put you in contact with a knowledgable reseller.

Personally, I'd use both! I support/run Sophos Web, Email and ASG and they're all great products [:D]

Thanks for you input guys....   This ASG is an impressive device...

You have two options for your network, both of which would leave the Cisco ASA as the default gateway:

1. Bridge the External (WAN) and Internal Ethernet interfaces
2. Use Proxy ARP on both the External (WAN) and Internal Ethernet interfaces, and add static interface routes for the public IP addresses you want to use on the Internal interface

Up to you really!

Hi Peter,

I'm in the same situation here....I would like to take a good look at all the Sophos astaro UTM features. Your advise was bridging the 2 NIC's.
I am a bit on the wrong foot here. Cloud you please elaborate? 

Unfortunately I only own one public IP (7 more are coming but I would like to master the UTM before I finally set it up here) I'm testing it in a VM.
It runs on a Windows 2008r2 datacenter server. with iSCSI and 1gb Mem.
One of the main reasons is I'm interested in are the UTM Firewalling IPv6 and VPN capabilities. I also want to look at the management suite!
I use a HE ipv6 tunnel /64 (also no dedicated IPv6 from my ISP yet).

So bridging both NIC's would do the trick? 
I surely would appreciate any more information or some kind of network layout you could lead me to.

Kind regards,
Ron J. Buitenhuis

This leeds me to say the setup to me, needs a little bit more

Hi, Ron, and welcome to the User BB!

Perhaps you could show a simple diagram, like: