Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 1749 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG220 8.306 - Bridging and Vlans Issue

Stum
ASG220 sits between internal network and cisco pix.

Eth0 and 1 Bridged, users are pulled from AD, Webfiltering and profiles are configured for Transparent mode with Browser authentication.

When you go to browse you get the browser prompt for login details and the proxy profiles seem to be working fine.
 
Until you change the bridge from standard to Vlan then it all falls apart [:(] users now have full browsing access with no prompt for details.

Pulling my hair out (whats left of it) , where am i going wrong ?

Regards
Stu


This thread was automatically locked due to age.
  • 0
    change the bridge from standard to Vlan

    Not sure what you mean here.  Are you defining multiple VLANs on your bridge?  It sounds like the new VLANs aren't in any 'Allowed networks' for the Web Proxy.

    Cheers - Bob
  • 0
    I have a br0, edit this and change from Ethernet Std to Ethernet Vlan and add the tag then save. After doing this the web filtering no longer works and i am no longer asked for a username and password in the browser.
    Change it back to Ethernet Std and it all works again ?

    Allowed Networks contain the relevant networks ie: Office (10.184.1.0/24) unless there is another way to define a Vlan that i haven't come across yet.

    Our little test setup works this way. Vlan201=Office(10.184.1.x), 220=Guest(10.184.20.x)
    Test PC (10.184.1.x plugs into Cisco 3560 switch, Port1 (Vlan201-T), switch Port3 (Vlan201,220) connects to Astaro (eth0) internal port of the bridge, Astaro (eth1) connects to our main Vlan switch, port9 which is Vlan201,220-T then off to the Cisco Pix

    Are you confused now ? :-)
  • 0
    It sounds like the problem is something simple that you are overlooking.  Please show a line from the Web Filtering log where an access worked via the proxy.  Is the proxy in regular Transparent or in "Full Transparent" mode?  Please confirm that all networks are in 'Allowed networks' in the appropriate profiles.

    Cheers - Bob
  • 0
    Hi Bob,
    Sorry i cant give you the line from the non vlan testing as i am in the middle of some other work and the kit is all setup for the vlans.
    We have it configured from "Transparent" and appropriate networks are in the Allowed area.

    I have attached a diagram which might help out. From the astaro i can ping the 2 vlan gateways. Do i need anything like static routes ?

    Regards
    Stu
  • 0
    Stu, there aren't enough pixels in the picture to see what's happening.

    Cheers - Bob
  • 0
    I have attached again. Diagram is fine in visio , not sure how to get it out of visio any better.[:S]
  • 0
    I trust that your diagram is a visual of your description in post #3.  No additional routes should be required.  I made the comment in post #2 because it seemed clear that your access was going via a firewall rule instead of the Proxy - that's why there was access without authentication.

    I suspect your problem is in the networking outside the UTM.  The first thing I'd try is putting a drop-all Firewall rule at the top of the list.  If that fails to block the VLAN traffic, you'll know that the client is going around the UTM.  If it does block, then I'd delete that rule and watch the HTTP traffic on the bridge with tcpdump.

    You probably want to use "Full transparent" mode so that the traffic retains the original IP instead of leaving the proxy with the IP of the bridge.

    If you can't get this to work, and you think the problem is in the UTM, you might want to consider buying an hour of time from your reseller.

    Cheers - Bob
  • 0
    I added a rule as #1 which dropped the web browsing traffic from any to any and that did stop the browsing. I havnt had a chance with the tcpdump yet.
    We started off with full transparent but because we wanted to use a more relaxed lunchtime filter we then introduced the AD and ended up having to go transparent with brower login to get the proxy profile working with multiple times.

    I have today come across this in the http://www.astaro.com/lists/Known_Issues-ASG-V8.txt


    Closed Issues - Various
    ========================================================================


    ID21955 8.305 transparent proxy on top of bridge with vlans not working
    ------------------------------------------------------------------------
    Description:  transparent proxy on top of bridge with vlans not working
    Workaround:   Fixed in UTM Version 9.000
    Fixed in:

    which sounds just like our issue but our 220 cant run 9 :-(
  • 0
    I think you've discovered the problem with transparent on the bridge - good job of creative problem solving!  I've not run into that bug before.  I don't think there's any point in using tcpdump.

    You might want to revisit the decision about AD.  Check out Configuring HTTP/S Proxy Access with AD-SSO

    Cheers - Bob
  • 0
    Thanks Bob , i am in touch with the Astaro Support which i do find rather slow and just asked the question regarding the issue note i found.
    With regards to the AD can you outline why we should revisit the AD decision please? Im a newbie to these boxes.

    Regards Stu.