Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6169 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy - PAC Configuration

danieldemoraisgurgel
I have two networks with ASG Web Proxy Profiles / Standard - Active Directory SSO. I setup the PAC file and  DHCP Server, but the setting is only sent to the first network.

ASG should not send the configuration of the second network also? Are there any restrictions or error in my configuration?

ASG should have Transparent authentication with support for Active Directory at least, this is a desired feature for new versions!
[:(]

10.20.30.0/24 - Works
20.30.40.0/24 - Does not work


This thread was automatically locked due to age.
  • 0
    Hi, Daniel,

    I realize these are meant to be representative IPs, but I don't see anything other than an overlap of the Range with DNS Server 2 in each case.

    If you have AD, is there a reason you want to use a PAC file instead of a GPO?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, Daniel,

    I realize these are meant to be representative IPs, but I don't see anything other than an overlap of the Range with DNS Server 2 in each case.

    If you have AD, is there a reason you want to use a PAC file instead of a GPO?

    Cheers - Bob


    Estimate to introduze into the ASG Transparent Proxy with Active Directory-SSO (including Proxy Profiles)?
  • 0 in reply to danieldemoraisgurgel
    Another detail, GPO is only applied to Internet Explorer ... Astaro should consider that the network environment, there are alternative Web browsers ... and PAC configuration is not a scalable solution ...
  • 0 in reply to danieldemoraisgurgel
    Another detail, GPO is only applied to Internet Explorer ... Astaro should consider that the network environment, there are alternative Web browsers ... and PAC configuration is not a scalable solution ...


    From what I've seen,  IE proxy settings apply to Chrome and many other apps.   Not sure about Firefox.
    In other words, the proxy settings under Internet Settings is more of a Windows setting and not specifically an IE setting.  This is true of other Internet Settings as well, such as security zones.
  • 0
    Firefox can be configured to use the Windows PC's Proxy Settings.

    Cheers - Bob
  • 0 in reply to BAlfson
    i use the dhcp option to set the wpad for the astaro box 8.301 and setup a fairly good script. But Firefox doesn't use dhcp it uses dns.
    So now i have a issue when vpn ssl client connect from home wpad.domain.com is valid and both ie and firefox grab the dns wpad.  So now i have a issue where even though i want split vpn so there internet goes out there home internet, i am setting there proxy to be the asg box and offcource get block because 192.168.0.0 numbers are not allowed to use. 

    So i'am trying to make the script see the ipaddress of client and go direct if not on my network. But firefox tries to return the ip6 address even if disable so i found the setting for that, but it still doesn't always give me the ipaddress.

    My few questions 1) does anybody have a similar setup and have troubles surfing at home split tunner(iam sure i haven't but the vpn in the networks list)
    2) anybody have a good wpad that works with ipaddress and firefox
    3) what setting makes firefox use ie so maybe i can get ride of the dns wpad

    thanks
  • 0
    Barry,

    if I understand you correctly then your actual problem is not your proxy script but it is the way you have setup your VPN sessions.

    You indicate that when SSL VPN clients establish a connection they can find the DNS entry for "wpad.domain.com" and that they will therefore then use the ASG as their Web Proxy - even though you want them to take advantage of split tunneling and use their local internet pipe for any non-company destinations.

    Have you thought about configuring your SSL VPN sessions to use a different dns domain name - for example "clientx.vpn.domain.com". That way when the browser on a SSL VPN client goes out to try and find the WPAD DNS entry it will look for "wpad.vpn.domain.com" - and that DNS entry does not exist so you should get your desired result.

    You can set the DNS domain name for your SSL VPN clients on the Remote Access --> Advanced tab with the option labeled "Domain Name".

    Hope this helps.

    Martijn.
  • 0 in reply to MartijnTigchelaar
    Thanks for understanding the problem , that is spot on.

    I tried what you said and yes that fixes the wpad issue but then you can't get to the server my name unless you use the fully qualified. One of my programs has just the servername they don't look for the domain name.

    just to be clear I can't ping  Server1  but can ping Server1.domain.com  i need to be able to do that when on the vpn. Let me know if you want me to try something else.

    What i have done in the meantime is added a ipaddress range to use for the proxy and if not on that go direct.  That was not as easy as you would think since Firefox graps an ip6 address even if you disable it in the nic. you have to disable ip6 in the config of firefox.
  • 0
    Barry,

    so you're using just host-names instead of fully qualified domain names. You can overcome that issue by populating the DNS suffix search list - Google that one.

    Basically, you specify that every time a hostname needs to be resolved, the Windows system will automatically try different domain names - for example vpn.domain.com, domain.com etc. etc. There is a little bit more to it, but this can certainly get you on your way.

    Martijn.