Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2764 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

http proxy by vpn

susana
We ASG 320 with version 7402.
We have configured a VPN to a Civil Service to make DNS queries and http surfing.
To make DNS queries we configure a SNAT, so we present all the queries with the same ip on the remote network, and for web browsing, there is another SNAT different.
DNS queries is ok, but with http surfing have problems.
We need access diferents http sites by the VPN, and this sites are only availables by the VPN. If we configure the proxy web browser settings with the web address like exceptiones, we access without problems. But if we removed as an exception in the web browser, and configure this exception in http proxy Astaro always indicates time out.
Anybody can help us??

Thanks


This thread was automatically locked due to age.
  • 0
    By "Civil Service," do you mean "Internet Service Provider" or is this some special type of service?  Can you show the Edit of the Remote Gateway definition for the VPN?

    Do we understand correctly that you are using SNAT to force DNS and HTTP traffic out a second WAN connection?

    Please show the exceptions that work.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    In first place, sorry for my english!!

    With Civil Service, i want say a Twon Hall. This VPN are between two Twon Hall.
    We need access to the remote Twon Hall, to see web sites that are not availables without VPN. 
    Our internal DNS server have the ip`s to resolv the queries to this web sites of our users.

    To access the web sites of remote Twon Hall, we masquerading our IP`s, and always do the queries with the same ip. The same ip for all users.
    One ip for dns request, and another ip for web request.

    Configuration of Astaro:

    VPN CONFIGURATION
    LOCAL:
    LOCAL INTERFACE: 213.x.x.x (Public IP)
    LOCAL NETWORK: 10.150.96.0/25

    REMOTE:
    GATEWAY: 217.x.x.x (Public IP)
    REMOTE NETWORK: 10.0.0.0/8

    SNAT DNS
    TRAFFIC SOURCE: 172.x.x.x (DNS SERVER)
    TRAFFIC SERVICE: DNS
    TRAFFIC DESTINATION: 10.0.0.0/8

    NAT MODE: SNAT

    SOURCE: 10.150.96.3
    SOURCE SERVICE: DNS

    SNAT HTTP
    TRAFFIC SOURCE: 172.x.x.x/16
    TRAFFIC SERVICE: HTTP
    TRAFFIC DESTINATION: 10.0.0.0/8

    NAT MODE: SNAT

    SOURCE: 10.150.96.2
    SOURCE SERVICE: HTTP

    One of the web sites to acces is www.trafico.es.
    If the web browser have a exception in proxy configuration, we access ok. But if we delete this exception, we don`t access, and in the astaro configuration is there a exception.

    The exception of the astaro are:
    trafico.es
    for all the posible checks.

    Also i try in the exception *trafico.es*, *www.trafico.es*, but don`t work ok.
  • 0 in reply to susana
    Your first problem is that 10.150.96.0/25 is inside 10.0.0.0/8, so you are going to have routing problems.  Why not change your local network to a different private IP range?

    Once you've made that change, I don't think you will need the SNATs.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The ip`s are given by the remote Twon Hall, by their instruccions.
    More Town Hall are connected by this mode, and works ok. We are the only with problem.
    I don`t understand why i can go to www.trafico.es if in Internet Explorer is configuring www.trafico.es like proxy exception, and without this exception not, because this www.trafico.es only is available by VPN.
  • 0 in reply to susana
    The problem is your subnet in your town hall: 10.150.96.0/25.  It is possible that the remote town hall assigns 10.150.96.0/25 to your VPN on their side.  You should not have anything in 10.0.0.0/8 on your side.  This is the reason you are the only site having a problem.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    ok.
    I will try resolv it.
  • 0
    Hi:
    We have one big problem with http proxy.
    Astaro with v. 7.402, everyday, in the web browser request user and password for the proxy.

    In Astaro, Users, Authenticacion, Active Directory, Test Server is ok.

    In log, appears when proxy fails
    2009:05:20-11:20:33 frwaypal01-1 httpproxy[4714]: [0xb3824630] send_winbindd_request (auth_adir.c:995) write: Connection refused 
    2009:05:20-11:20:33 frwaypal01-1 httpproxy[4714]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.16.60.41"...

    If restart http proxy, all is ok...
  • 0 in reply to susana
    Hi:
    We have one big problem with http proxy.
    Astaro with v. 7.402, everyday, in the web browser request user and password for the proxy.

    In Astaro, Users, Authenticacion, Active Directory, Test Server is ok.

    In log, appears when proxy fails
    2009:05:20-11:20:33 frwaypal01-1 httpproxy[4714]: [0xb3824630] send_winbindd_request (auth_adir.c:995) write: Connection refused 
    2009:05:20-11:20:33 frwaypal01-1 httpproxy[4714]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.16.60.41"...

    If restart http proxy, all is ok...


    This is another problem isn't it?

    Are you located in Portugal?