HTTP Routing

Sami, are you using Web Security in your Astaro in Qatar?  If so, what mode is it in?

If it's in the transparent mode, then add these clients to the 'Transparent mode skiplist'.  Then, make a DNAT '{client IPs/networks} -> Web Surfing -> Internet : DNAT to {proxy server in the USA}'.  This lets them go around the HTTP/S Proxy.

Is that what you were trying to accomplish?

Cheers - Bob

Dear Bob
Thanks for your reply
When i was applying the setting you have mentioned about , an error appeared !
They said : Configuration is logically incorrect   , For the destination service ..
 
Please find the below pic :


And please could you let me know what do you mean by : go around the HTTP/S Proxy.
The client PC is already put in HTTPs proxy profile

Thanking you in advance

The trafficdestination must be the internal interface of your asg not 'internet'.  if the client is using your asg as proxy the dnat catches the traffic before the proxy gets it - (if i remember the order correctly) - i think thats what Bob wants to say.

what version of asg are you using? in v8 there is a possibility to use parrent proxys depending on profiles.

regards
manfred

Dear manfred
Thanks for your reply , i am using 
Hostname:  ASG120
Firmware Version:  8.102

Thanks

Did you change the DNAT Rule and did that solve your issue?

If you are using 8.102 you could try to set up a proxy profile for that PC and in that profile you can define one (or more) parent proxys - i think, that could solve your issue too. The parent proxy stuff can be found in Web Security->HTTP/S Profiles Tab Parent Proxy.

Regards
Manfred

I haven't played with 'Parent Proxies' in 'Web Security >> HTTP/S Profiles', but I think it lets you specify a parent proxy for some specific hosts, like, "use this parent proxy for access to one.example.com, two.example.com and 65.75.85.95".

If you use the DNAT, then it does capture the Web Surfing traffic before it is seen by the Astaro HTTP/S Proxy.

I see two issues with your DNAT:

First, if your HTTP/S Proxy is not in "Transarent" mode, the DNAT won't work as you've written it.  If you're in a non-transparent mode with your users' browsers pointed at the Astaro on port 8080, then you need to make the change Hallowach recommended, and you need to change the traffic service to "HTTP-ALT" which is port 8080.

Second, Astaro does not support changes between a group and anything else.  If the 'Source service' is a group, the 'Destination service' must be blank.

Does that resolve your problem?

Cheers - Bob

Dear Bob , Thanks you alot , i tried applying your request , but it did not work [:(]
i used the followings :

Traffic Source: PC Sami 
Traffic Service: HTTP Proxy 
Traffic Destination: Internet IPv4 
NAT mode: DNAT (Destination)
Destination: USA Server 
Destination Service: USA proxy 

Now i am trying to open a blocked website by our ISP , i couldn't using the above DNAT

Bob , The scenario i am trying to do is as follows :
our ISP has blocked some websites , let us say : Yahoo! Deutschland , 
If we use our USA Proxy , we could open it 
Now i need all the PCs in my company to access yahoo.com without using a proxy
i.e without letting them know our USA Proxy , Requests Automatically forwarded ..
So is there a way to do this like parent proxy or DNAT or whatever ?

Appreciate your help in advance ..
Thanks
Sami.

Traffic Source: PC Sami 
Traffic Service: HTTP Proxy 
Traffic Destination: Internet IPv4 
NAT mode: DNAT (Destination)
Destination: USA Server 
Destination Service: USA proxy

Now i am trying to open a blocked website by our ISP , i couldn't using the above DNAT 

Right.  I wasn't thinking.  You do need Full NAT with a 'Source' of "External (Address)".   So, "USA Proxy" is different from port 8080?

our ISP has blocked some websites , let us say : Yahoo! Deutschland , 
If we use our USA Proxy , we could open it 
Now i need all the PCs in my company to access yahoo.com without using a proxy
i.e without letting them know our USA Proxy , Requests Automatically forwarded ..
So is there a way to do this like parent proxy or DNAT or whatever ?

Yes, I think that's what the parent proxy is for.  You must specify the specific hosts though as there's no resolution for *.yahoo.com, for example.

Cheers - Bob

Thanks Bob .
The USA Proxy port is not 8080 , it is 9966 

And for the 2nd one , i have tried it but did not work 
specified parent proxy for specific host , but it did not work [:(]

Thanks for your help , Appreciate it .