Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3938 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to use transparent proxy

Enulien
Hi,

Im quiet new in the whole proxy and astaro subject.
I still have a few problems understanding how the transparent proxy exactly works.
I know that it takes requests on port 80 and 443 and directs them to the proxy ports but where exactly do you normally place the proxy in the network design?
If the proxy is not directly connected to the internet, is it always necessary to configure the clients DG with the IP of the internal astaro interface??? Or do you direct the traffic from your ISP router to the ASG?
I hope you understand what I mean and you can help me.

Thanks in advance! [:)]


This thread was automatically locked due to age.
  • 0
    Yes, clients must have Astaro 'Internal (Address)' as default gateway.

    In transparent mode, the HTTP/S Proxy only captures port 443 if HTTPS is enabled.  If you also want the proxy to handle the other 'Allowed services' on the 'Advanced' tab, you have to use one of the non-transparent mode and point the client browsers at the Astaro proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks for your response and your help.

    For HTTP/S proxy and SSL sessions I understand that I have to import the asg certificate in the list of trusted CAs of the clients.The clients in this case need to be able to resolve the FQDN of the ASG. Does it ALWAYS refer to the public name (for example DynDns configured to resolve the external/public IP) or is it enough if I create a host A record on the local DNS Server?

    Thanks again. [:)]
  • 0
    Yes, do create a record in your internal name server.  You might want to check out: DNS Best Practices.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes, clients must have Astaro 'Internal (Address)' as default gateway.

    In transparent mode, the HTTP/S Proxy only captures port 443 if HTTPS is enabled.  If you also want the proxy to handle the other 'Allowed services' on the 'Advanced' tab, you have to use one of the non-transparent mode and point the client browsers at the Astaro proxy.

    Cheers - Bob


    Is there really no other way to configure the transparent proxy?

    ISA has a software client that intercepts this traffic without changing the default gateway.

    Feature request?
  • 0
    King, I'm not sure I understand.  If the default gateway is a device other than the Astaro, the client's web request will go there instead of to the Astaro.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    King, I'm not sure I understand. If the default gateway is a device other than the Astaro, the client's web request will go there instead of to the Astaro.


    Thats what normally would happen right. But (and that is the point why I opened that thread) Astaro says in all their trainings, that the tranparent mode is perfect to use for the 30day test period since you dont have to change the customers networks IPs or design. You can just connect the ASG to the network in transparent mode an it will intercept the http/s traffic going out of the DG. Thats how it is said in the ASE documents.
    And Im still figuring out how to do it.
  • 0 in reply to Enulien
    Thats what normally would happen right. But (and that is the point why I opened that thread) Astaro says in all their trainings, that the tranparent mode is perfect to use for the 30day test period since you dont have to change the customers networks IPs or design. You can just connect the ASG to the network in transparent mode an it will intercept the http/s traffic going out of the DG. Thats how it is said in the ASE documents.
    And Im still figuring out how to do it.


    I believe in this case they are referring to bridging 2 or more interfaces on the astaro, then placing it in the network so it is intercepting all the traffic (not having it just hanging off the network). With the astaro having the traffic flowing through it you can enable the transparent http proxy and it will filter the traffic, without having to change very much in the network. In this scenario you do not need to have the astaro as the default gateway on the PCs in the network.
  • 0 in reply to dilandau
    So it would work this way:

    ISP Router ----> [ASG Network Interface 1 - ASG Network Interface 2] ----> company network

    then bridge the 2 interface and everything would work normal as if the ASG wasnt there and it only intercepts http/s.
  • 0
    I believe this is the way ours is setup already yet the only way it can intercept the traffic is if its the default gateway (because the client cannot get there).

    Too bad there is not a software solution for this.