Transparent Agent auth with browser auth failover?

This is not the correct design
Failover must be something "non authenticated" access only google.com and block all
First decide who will fit best in your environment Agent or Browser Auth, you can't use both

but what if I have an "allowed network" that contains clients where it is not possible to run the agent (ie. Linux)? it seems like in this scenario my only option would be to define a DNS host for each of these clients and create a web filtering profile so that these hosts are prompted with browser auth instead? that could require a lot of additional management. what would be the best way to approach this scenario?

Hi, mode, and welcome to the User BB!

You can have one "Transparent" and one "Standard" mode Profile for a given subnet.  Agent authentication can be used in either.  Browser auth can be done in Transparent and Basic user auth in Standard.  If you have Active Directory or another SSO-capable infrastructure, you would prefer SSO for the Standard mode.

Cheers - Bob

Hi Bob,

Thank you for your advice that cleared things up a little. I've used another UTM product in the past which used an agent for authentication if the proxy was in transparent mode, but it would prompt the user with a browser login in situations where the agent was unavailable on the client. This worked quite well because for domain joined Windows clients it was seamless SSO and for other devices the user would still have the opportunity to authenticate.

This a bit off topic but one other thing I noticed is that I was still able to communicate with services outside of the firewall without authenticating, on any protocol other than HTTP. For example I set the default Web Filter to transparent mode with browser auth. I would be prompted to authenticate if I tried to access a website but without authenticating I could access an FTP server. I thought the web filtering authentication was supposed to act as a captive portal?

In Transparent mode, only HTTP is handled (and HTTPS if SSL scanning is selected) and the 'Transparent mode' skip lists apply.  In Standard,  the ports in 'Allowed target services' are handled.  The FTP proxy can be used in Transparent mode with browsers.

The unautenticated accesses were allowed via a Firewall rule.

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Hi Bob

Okay so I've adjusted my firewall rule to allow FTP traffic from Active Directory Users (User Group Network) to any destination. I authenticate with an AD account using browser auth which allows HTTP traffic but my FTP traffic is still blocked?

There are only two situations where an IP is assigned to a User/Group "Network" object: the user logs into a Remote Access VPN or into the Authentication Agent.

Cheers - Bob

Hi

Thanks for your response. So does this mean there is no way to restrict an unauthenticated user from being able to send/receive traffic outside the firewall (other than HTTP)? For example if we had an Android tablet device and was connected to the office wifi we would obviously want to be able to account for the data being used by that person and therefore restrict their internet access until they had authenticated.

depends what you mean with ''Data" and what rules you have in firewall
Delete all rules that allow http and Any in firewall...

If the UTM is providing DHCP, you can limit it to only handing out IPs to known MAC addresses with Host names defined in the UTM.  You then can add those Host definitions to Network Groups that you can use in Firewall rules and Web Filtering Profiles.

It's difficult to make good suggestions as you're asking about the solution you've devised instead of telling us what issues you're trying to address.  If you have a good reseller that knows this tool well, maybe you'd be better off working with them to get started.  It's not unusual for us to do a setup and then bill the time when the customer buys the UTM.

Cheers - Bob