Route Web Traffic over IPSec Tunnel

I want not all devices uses the VM

How are these diferentiated - is it a specific range of IPs?

Cheers - Bob

all the devices are in the same ip-range. The VM is of course in a different subnet, otherwise it could not be routed over the IPSec tunnel [;)] )

Bob is asking how do you want to distinguish which traffic goes through the tunnel?
By source IP?

Barry

If by IP, then the answer is in the definition(s) of the VPN tunnel(s).  If by AD Security Group membership, then the answer is in GPO definitions for Proxy Settings. 

Cheers - Bob

Sorry for any short responses!  Posted from my iPhone.

thanks for the replies. When I have some spare time (which is rear), I will make drawing with the setup and what I'm trying to accomplish...

Hi All,

I tried to make the drawing so clear as possible and explain (again) what I want to accomplish.
I want a "transparant proxy" (HTTP/HTTPS/FTP) for PC's, like PC1 (21.21.21.21 with gateway 21.21.21.1).
The web traffice needs to be routed through the IPSec Tunnel to Squid Proxy server 22.22.22.22 .
PC1 can reach the server on IP 22.22.22.22, so that's not the problem.
On the UTM 9 (21.21.21.1) the webproxy is disabled. I hope it's clear what I want and any help is welcome.

UTM 9 (21.21.21.1) has only Public IPv4 while Squid 22.22.22.22 has also a Public IPv6 (Native). So I want that the PC's from 21.21.21.0 has the possibility to surf the web with the Public IPv4 & IPv6 of Squid 22.22.22.22 .

I still don't understand.  Do you want all traffic '21.21.21.21 -> Any -> 22.22.22.22' to go through the tunnel, or just '21.21.21.21 -> Web Surfing -> 22.22.22.22'?

If the first, then just configure the VPN so that, in the UTM, you have a host dfinition for 21.21.21.21 in 'Local networks' and a host definition for 22.22.22.22 in 'Remote networks'.

If the second, then  configure the VPN so that, in the UTM, you have a host definition for 10.21.21.21 in 'Local networks' and a host definition for 22.22.22.22 in 'Remote networks' and 'Strict routing' is not selected.  Then create a NAT rule 'SNAT : {21.21.21.21} -> Web Surfing -> {22.22.22.22} : from {10.21.21.21}'.

Cheers - Bob

why  do I have to use the ip "10.21.21.21"? I don't have that network segment...

I want only that web traffic from segment 21.21.21.0/24 is forwarded to 22.22.22.22 .
So the hosts on network 21.21.21.0/24 can reach IPv4 and IPv6 sites.
Squid 22.22.22.22 has a second NIC with a public IPv4 and IPv6 IP. When I test with a browser directly on the Squid server (22.22.22.22), I can reach IPv4 and IPv6 sites. When I enable Web Proxy on the UTM 9 (21.21.21.1) and use a Parent Proxy to 22.22.22.22, only IPv4 is forwarded to 22.22.22.22 and not IPv6.
If I have to make an extra configuration, so the UTM 9 will also forward the IPv6 traffic to 22.22.22.22, that's fine by me....

why do I have to use the ip "10.21.21.21"? I don't have that network segment...
 
I want only that web traffic from segment 21.21.21.0/24 is forwarded to 22.22.22.22.

If you put 21.21.21.0/24 into the VPN, then all traffic from that segment will go through the VPN to 22.22.22.22.  If you want to maintain tracking of separate IPs in the squid, you could use a 1-to-1 source NAT instead of the SNAT above.  In that case, 10.21.21.21.0/24 would be in local networks.

But, it sounds like you're taking another route to a solution...

Does the Host definition in the Parent Proxy have IPv6 defined? And is IPv6 activated in 'Intrerfaces & Routing'?

Cheers - Bob

thanks for the reply.
IPv6 is activated on UTM 9 (firewall1) but the internal interface doesn't has a IPv6 address only 21.21.21.1.

I pm'ed you with more details...