Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2115 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Expanding HTTP Proxy to remote sites

skydiver
I have been testing the HTTP Proxy filtering in transparent mode (http only/no https yet) in our corporate office for a while now and am ready to move this out to our remote sites.

At each our remote sites, I have an ASG with 4 internal VLAN's defined.  These ASG's have an IPSEC tunnel established between the Central office and themselves but without any current real usage over the tunnel yet.  I wish to force only one of the four VLAN's at the remote office to get to the internet through the IPSEC tunnel as opposed to exiting to the internet via the local public internet interface at the location.  I wish for ALL internet bound traffic on this VLAN to come through the IPSEC tunnel.

My questions are:
-  How do I set the VLAN I wish to redirect through the tunnel up at the remote location?  It is best to setup a static route or a policy route?
-  Once I have all traffic on this VLAN setup to redirect through the central VLAN, is there any special setup consideration I need to be aware of on the http proxy setup other then allowing the network segment to use the http proxy?
- When I get to the point where I will need to deploy a proxy PAC file, how will I direct the remote Astaro to tell web browser clients on the remote network to use the PAC file hosted on the Central office Astaro?

Is this setup on a HOWTO doc in the Knowledge base?


This thread was automatically locked due to age.
Parents
  • 0
    You are correct that you will need to remove that segment from the VPN  configuration in the remote site and create another one with "Internet" in the 'Remote Gateway' for that VLAN alone.

    I don't think you need to do anything additional at the main office Astaro though; one VLAN will take advantage of its offer to handle Internet traffic, and the other three won't.  I haven't actually done that though, so please post back the result.

    In any case, I'm almost certain you can't solve your problem by manually creating routes.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Remote Office VLAN network segments:
    10.10.12.0/24, 10.15.12.0/14, 10.19.12.0/24
    Central Office LAN segment: 10.10.2.0

    A 10.10.0.0/16 segment allows me to traverse the 10.10.0.0 network across remote offices.

    I want ALL network traffic coming from the 10.10.12.0/24 network not bound for internal IP address spaces to come through the central ASG HTTP proxy, transparent for now but later using the PAC option proxy config.

    So if I understand you correctly, I will have two tunnels for each remote site:
    Tunnel 1
    Remote ASG Setup - Connection - Local Networks 10.10.12.0/24
    Remote ASG Setup - Gateway - Remote Networks 10.10.0.0/16 and Internet
    Central ASG Setup - Connection - Local Networks 10.10.0.0/16 and Internet
    Central ASG Setup - Gateway - Remote Networks 10.10.12.0/24

    Tunnel 2
    Remote ASG Setup - Connection - Local Networks 10.15.12.0/24 & 10.19.12.0/24
    Remote ASG Setup - Gateway - Remote Networks 10.10.0.0/16
    Central ASG Setup - Connection - Local Networks 10.10.0.0/16
    Central ASG Setup - Gateway - Remote Networks 10.15.12.0/24 & 10.19.12.0/24

    At Central ASG add the 10.10.12.0 segment to the HTTP proxy allow list.

    Would this effectively give me what I am looking for?
Reply
  • 0 in reply to BAlfson
    Remote Office VLAN network segments:
    10.10.12.0/24, 10.15.12.0/14, 10.19.12.0/24
    Central Office LAN segment: 10.10.2.0

    A 10.10.0.0/16 segment allows me to traverse the 10.10.0.0 network across remote offices.

    I want ALL network traffic coming from the 10.10.12.0/24 network not bound for internal IP address spaces to come through the central ASG HTTP proxy, transparent for now but later using the PAC option proxy config.

    So if I understand you correctly, I will have two tunnels for each remote site:
    Tunnel 1
    Remote ASG Setup - Connection - Local Networks 10.10.12.0/24
    Remote ASG Setup - Gateway - Remote Networks 10.10.0.0/16 and Internet
    Central ASG Setup - Connection - Local Networks 10.10.0.0/16 and Internet
    Central ASG Setup - Gateway - Remote Networks 10.10.12.0/24

    Tunnel 2
    Remote ASG Setup - Connection - Local Networks 10.15.12.0/24 & 10.19.12.0/24
    Remote ASG Setup - Gateway - Remote Networks 10.10.0.0/16
    Central ASG Setup - Connection - Local Networks 10.10.0.0/16
    Central ASG Setup - Gateway - Remote Networks 10.15.12.0/24 & 10.19.12.0/24

    At Central ASG add the 10.10.12.0 segment to the HTTP proxy allow list.

    Would this effectively give me what I am looking for?
Children
No Data