Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5256 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No Downloads possible with Caching-Proxy in front of Astaro

XACT
Hi,
we are using a Caching-Only-Proxy (Squid on Windows 2003) in front of our ASG320 (7.405). The Squid authenticates the users against ActiveDirectory and forwards the HTTP-traffic to the Astaro. The Astaro's HTTP-Proxy is running in standard mode with Dual-Virus-Scanning and Content-Filtering enabled.

The problem is, if a users wants to download a file from the internet, he only gets the Astaro-Download-Screen from "passthrough.fw-notify.net" but the progress-bar does not move and nothing happens. 

If the user connects to the Astaro directly bypassing the Squid-Proxy, the download works - but without the Astaro-Download-Screen...

Is there something misconfigured or is this a bug? How can we fix this?

Thanks in advance!


This thread was automatically locked due to age.
  • 0
    Hi,
    why the double proxy?
    Why don't you use the ASG as the proxy and have it authenticate against your AD?

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi,
    that's no option I'm afraid (I knew this suggestion would come... ;-) ). We must use a special analyzer tool for the logs, that requires this separate caching-proxy. 
    The second reason for this is not to stress the firewall with authentication and caching for performance and security reasons.

    Regards

    Marco
  • 0
    How have you configured the parent proxy on the 'Advanced' tab?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    No, I didn't - on the Astaro. The Astaro doesn't use a parent proxy, the caching Squid-Proxy uses the Astaro as parent... 

    The assembly is as follows: LAN with caching Squid-Proxy -> ASG -> ISP-Router
  • 0
    I'm confused.  Your original post implies that the Squid-Proxy is between the ISP and your Astaro: "we are using a Caching-Only-Proxy (Squid on Windows 2003) in front of our ASG320 (7.405). The Squid authenticates the users against ActiveDirectory and forwards the HTTP-traffic to the Astaro."
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sorry, that was a misunderstanding - "in front of our ASG320" was meant from LAN-side not from Internet-side. The caching-proxy is located in the LAN and uses the Astaro as parent proxy. The Astaro is the gateway to the Internet.

    Regards

    Marco
  • 0
    IMHO, I think most people would say the Astaro is in front of the Squid device.  In any case, I think your probelm is in the Squid configuration, not in the Astaro.  Plus, I'd agree with Ian - Authentication and Cacheing wouldn't put that much of a load on the Astaro.  With the new reporting tools in V7, you might want to revisit the decision to use the Squid proxy at all.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks Bob, but this is a decision, that I can't make... 
    So I must solve the problem between the Squid and the Astaro. 
    Maybe it has something to do with that domain "fw-notify.net"? I don't really understand this construction - why do these "Astaro-Status-Pages" come from this domain and not from the Astaro's internal address?

    Regards

    Marco
  • 0
    Responding to one of your questions in your first post in this thread: The Astaro download screen only appears if the Astaro calculates that the time needed to perform the download is larger than "x" seconds (not sure about the exact number).  A file is not A-V scanned if it's larger than the max scan size, so if you have that set to a small number, like 10MB, you may have a fast-enough download speed that you never trigger the message.

    Like I said, I think your problem is in the Squid box - maybe there's a user bulletin board for it that you can get an answer from.

    It sounds like you're trapped between Scylla and Charybdis - Good luck!

    Cheers - Bob
    PS Have you considered putting the Squib box between the ASG and your ISP?

    PPS You might read https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/44161
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    In the default configuration squid sends POST requests directly to the server, which prevents the client to update the Downloader page. you have to tell squid that he shouldn't do that. I don't have the exact ACL configuration setting handy, but IIRC it was called 'never_direct'

    Regards,

    Sven.