Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2113 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Expanding HTTP Proxy to remote sites

skydiver
I have been testing the HTTP Proxy filtering in transparent mode (http only/no https yet) in our corporate office for a while now and am ready to move this out to our remote sites.

At each our remote sites, I have an ASG with 4 internal VLAN's defined.  These ASG's have an IPSEC tunnel established between the Central office and themselves but without any current real usage over the tunnel yet.  I wish to force only one of the four VLAN's at the remote office to get to the internet through the IPSEC tunnel as opposed to exiting to the internet via the local public internet interface at the location.  I wish for ALL internet bound traffic on this VLAN to come through the IPSEC tunnel.

My questions are:
-  How do I set the VLAN I wish to redirect through the tunnel up at the remote location?  It is best to setup a static route or a policy route?
-  Once I have all traffic on this VLAN setup to redirect through the central VLAN, is there any special setup consideration I need to be aware of on the http proxy setup other then allowing the network segment to use the http proxy?
- When I get to the point where I will need to deploy a proxy PAC file, how will I direct the remote Astaro to tell web browser clients on the remote network to use the PAC file hosted on the Central office Astaro?

Is this setup on a HOWTO doc in the Knowledge base?


This thread was automatically locked due to age.
  • 0
    It's really much simpler than routes and such.  In the main office, add "Internet" to 'Local networks' in the 'IPsec Connection' definition for the location.  In the location, add "Internet" to 'Remote networks' in the 'Remote Gateway'.  Add the location's subnet to 'Allowed networks' in the HTTP/S proxy in the main location and, voila! you're there.

    The proxy PAC is reached at the same address from the remote location.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Will this still allow direct internet access on the other three VLANs at the remote site?  Currently I have the IPSEC tunnels to allow access to three of the four VLANS at the remote site.  I want one of three network segments at the remote site to direct all internet bound traffic through the central office http proxy but not on the other 3 network segments.
  • 0
    You are correct that you will need to remove that segment from the VPN  configuration in the remote site and create another one with "Internet" in the 'Remote Gateway' for that VLAN alone.

    I don't think you need to do anything additional at the main office Astaro though; one VLAN will take advantage of its offer to handle Internet traffic, and the other three won't.  I haven't actually done that though, so please post back the result.

    In any case, I'm almost certain you can't solve your problem by manually creating routes.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Remote Office VLAN network segments:
    10.10.12.0/24, 10.15.12.0/14, 10.19.12.0/24
    Central Office LAN segment: 10.10.2.0

    A 10.10.0.0/16 segment allows me to traverse the 10.10.0.0 network across remote offices.

    I want ALL network traffic coming from the 10.10.12.0/24 network not bound for internal IP address spaces to come through the central ASG HTTP proxy, transparent for now but later using the PAC option proxy config.

    So if I understand you correctly, I will have two tunnels for each remote site:
    Tunnel 1
    Remote ASG Setup - Connection - Local Networks 10.10.12.0/24
    Remote ASG Setup - Gateway - Remote Networks 10.10.0.0/16 and Internet
    Central ASG Setup - Connection - Local Networks 10.10.0.0/16 and Internet
    Central ASG Setup - Gateway - Remote Networks 10.10.12.0/24

    Tunnel 2
    Remote ASG Setup - Connection - Local Networks 10.15.12.0/24 & 10.19.12.0/24
    Remote ASG Setup - Gateway - Remote Networks 10.10.0.0/16
    Central ASG Setup - Connection - Local Networks 10.10.0.0/16
    Central ASG Setup - Gateway - Remote Networks 10.15.12.0/24 & 10.19.12.0/24

    At Central ASG add the 10.10.12.0 segment to the HTTP proxy allow list.

    Would this effectively give me what I am looking for?
  • 0
    I don't know that that will work as you have overlapping local and remote networks.  I was hoping you would confirm that the following works:

    Central ASG Setup for Site A - Connection - Local Networks 10.10.2.0/24 + networks of other sites and Internet
    Central ASG Setup for Site A - Gateway - Remote Networks 10.10.12.0/24, 10.15.12.0/24 & 10.19.12.0/24


    #1 in Astaro at Site A
    Remote ASG Setup - Connection - Local Networks 10.10.12.0/24
    Remote ASG Setup - Gateway - Remote Networks 10.10.2.0/24 + networks of other sites and Internet

    #2 in Astaro at Site A
    Remote ASG Setup - Connection - Local Networks 10.15.12.0/24 & 10.19.12.0/24
    Remote ASG Setup - Gateway - Remote Networks 10.10.2.0/24 + networks of other sites


    In other words, I suspect that you don't need to build two completely separate tunnels for each remote site at the Central Office.  If this doesn't work, then replace the suggested Central Office configuration with:

    Central ASG Setup #1 for Site A - Connection - Local Networks 10.10.2.0/24 + networks of other sites and Internet
    Central ASG Setup #1 for Site A - Gateway - Remote Networks 10.10.12.0/24

    Central ASG Setup #2 for Site A - Connection - Local Networks 10.15.12.0/24 & 10.19.12.0/24
     + networks of other sites
    Central ASG Setup #2 for Site A - Gateway - Remote Networks 10.15.12.0/24 & 10.19.12.0/24


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I am working on getting a spare ASG120 setup as a lab unit today.  As soon as I get it setup like one of our sites, I will test both configs.  I need to avoid piping all internet bound traffic on the two extra network segments be cause one is VOIP and the other is for our controlled POS connections which is tied to the external IP of the router.