Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 4658 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing to external proxy for authentication?

ahargrove
I have a firewall and a proxy both on the same network, side by side. 

Our clients use WPAD to autodetect proxy settings and direct all HTTP traffic to the proxy directly, with a HTTP Proxy profile of eDir-SSO. This part is working fine.

However, if a client does not have proxy settings in their browser, they obviously know nothing of the proxy and will try to go straight out the firewall. 

I currently have a policy route that reads: "All HTTP traffic directed at the firewall (via the client's default route) gets routed out to the EXTERNAL interface of the proxy."

This setup works fine if the HTTP Proxy profile for this traffic is set to Transparent (No auth). 

I want to change this profile to Transparent Authentication, but when I do, the firewall is intercepting the "passthrough.fw-notify.net" URL that the proxy is trying to send to the client for the login page.

Diagram is attached.

How can I stop the firewall from intercepting this URL and get clients a login screen when being routed to the EXTERNAL interface of the proxy?  Or, if there is a way to get it to redirect to the INTERNAL interface of the proxy, that would be fine as well.

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Even Transparent with auth will create confusion in the Proxy.  If just changing the route to the Internal interface of the Proxy doesn't work, then why not skip the proxy for these "guests" and SNAT them from an Additional Address on the Firewall?  That doesn't provide them any protection, but it does avoid identifying their traffic with one of your primary IPs.

    Cheers - Bob
  • 0 in reply to BAlfson
    Even Transparent with auth will create confusion in the Proxy.  If just changing the route to the Internal interface of the Proxy doesn't work, then why not skip the proxy for these "guests" and SNAT them from an Additional Address on the Firewall?  That doesn't provide them any protection, but it does avoid identifying their traffic with one of your primary IPs.

    Cheers - Bob


    Everyone on our network must be content filtered  since we are a K12.

    All I want to do is stop the ASG firewall from intercepting passthrough.fw-notify.net that the ASG proxy is trying to use.
Reply
  • 0 in reply to BAlfson
    Even Transparent with auth will create confusion in the Proxy.  If just changing the route to the Internal interface of the Proxy doesn't work, then why not skip the proxy for these "guests" and SNAT them from an Additional Address on the Firewall?  That doesn't provide them any protection, but it does avoid identifying their traffic with one of your primary IPs.

    Cheers - Bob


    Everyone on our network must be content filtered  since we are a K12.

    All I want to do is stop the ASG firewall from intercepting passthrough.fw-notify.net that the ASG proxy is trying to use.
Children
No Data