Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 4670 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing to external proxy for authentication?

ahargrove
I have a firewall and a proxy both on the same network, side by side. 

Our clients use WPAD to autodetect proxy settings and direct all HTTP traffic to the proxy directly, with a HTTP Proxy profile of eDir-SSO. This part is working fine.

However, if a client does not have proxy settings in their browser, they obviously know nothing of the proxy and will try to go straight out the firewall. 

I currently have a policy route that reads: "All HTTP traffic directed at the firewall (via the client's default route) gets routed out to the EXTERNAL interface of the proxy."

This setup works fine if the HTTP Proxy profile for this traffic is set to Transparent (No auth). 

I want to change this profile to Transparent Authentication, but when I do, the firewall is intercepting the "passthrough.fw-notify.net" URL that the proxy is trying to send to the client for the login page.

Diagram is attached.

How can I stop the firewall from intercepting this URL and get clients a login screen when being routed to the EXTERNAL interface of the proxy?  Or, if there is a way to get it to redirect to the INTERNAL interface of the proxy, that would be fine as well.

Thanks!


This thread was automatically locked due to age.
  • 0
    I think I must be a bit confused - do you have subscriptions for Web Security on both devices?  Why not disable it on the designated "firewall?" 

    Cheers - Bob
  • 0 in reply to BAlfson
    I think I must be a bit confused - do you have subscriptions for Web Security on both devices?  Why not disable it on the designated "firewall?"

    Cheers - Bob


    No, only Net Sec on the firewall, and both Net and Web Sec on the proxy.
  • 0
    I currently have a policy route that reads: "All HTTP traffic directed at the firewall (via the client's default route) gets routed out to the EXTERNAL interface of the proxy."

    Is there a reason to not simply change that to the IP of "Internal (Address)" of the proxy?


    Cheers - Bob
  • 0 in reply to BAlfson
    Is there a reason to not simply change that to the IP of "Internal (Address)" of the proxy?


    Cheers - Bob


    Well, I would pretty much have to re-architect my entire network, but no big deal, I guess...  [;)]
  • 0
    Your diagram indicates that both the Firewall and the Proxy are in the same subnet with the internal clients...

    Cheers - Bob
  • 0
    Right, but I have a lot of other routing and such already in place.  Changing the routes is not an option right now. 

    I simply want to change the proxy from Transparent mode to Transparent with Authentication and not have the firewall try to intercept the traffic as if it were directed at itself, which I believe it is with the whole passthrough.fw-notify.net.
  • 0
    Even Transparent with auth will create confusion in the Proxy.  If just changing the route to the Internal interface of the Proxy doesn't work, then why not skip the proxy for these "guests" and SNAT them from an Additional Address on the Firewall?  That doesn't provide them any protection, but it does avoid identifying their traffic with one of your primary IPs.

    Cheers - Bob
  • 0 in reply to BAlfson
    Even Transparent with auth will create confusion in the Proxy.  If just changing the route to the Internal interface of the Proxy doesn't work, then why not skip the proxy for these "guests" and SNAT them from an Additional Address on the Firewall?  That doesn't provide them any protection, but it does avoid identifying their traffic with one of your primary IPs.

    Cheers - Bob


    Everyone on our network must be content filtered  since we are a K12.

    All I want to do is stop the ASG firewall from intercepting passthrough.fw-notify.net that the ASG proxy is trying to use.
  • 0
    When you say "intercepts," what is it that you're seeing that leads to that conclusion?

    Cheers - Bob
  • 0 in reply to BAlfson
    When you say "intercepts," what is it that you're seeing that leads to that conclusion?

    Cheers - Bob


    Because I have a certain network going directly through the ASG proxy with Transparent Auth enabled and it works great. 

    Once I route the traffic through another ASG device and then the proxy, it breaks.  

    I am thinking that all ASG appliances intercept passthrough.fw-notify.net, regardless of what subscriptions you have.