Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 23792 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PAC file help

Ross86
I'm in need of some help with the proxy settings.

I'm running the UTM in transparent with AD SSO and no SSL scanning.

I want to setup standard mode with AD SSO so I can fully decrypt and scan SSL.

If I create a pac file and paste it into the auto config settings on the UTM and tick auto configuration, I'm deploying the browser settings to users via GPO registry. What settings should I have?

My UTM is in internal DNS as utm.domain.com IP 10.0.0.254.  In the pac file does it need to be 10.0.0.254:8080 or can I use Utm.domain.com:8080?  Likewise In the browser auto url does it have to be Http://10.0.0.254:8080/wpad.dat or can this be dns host name?

I've played around with different combinations but wondered what the correct way should be.

If a user doesn't have any proxy browser settings it just lets them out to any site, I basically want them to go through the web protection proxy and if they can't don't allow them to the internet, however if they aren't on the corporate network then I would  allow them to go direct to the internet.

There are so many kbs on how to configure it and how to distribute it's confusing!


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    I can confirm that the DNAT is needed if you use WPAD with DNS. Another test is to use firefox as browser as IE may get the correct address/port by a parallel configured DHCP option for WPAD. There is a good explanation here (but it's in german) and here (another but in english).

    We have no transparent profile in our config and no firewall rules that would allow port 80/443 and if there is noch DNAT then I can see the dropped packets in the firewall log. Another thing is that the WPAD download from the UTM does not work if the source network does not qualify for any proxy profile.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hi Manfred,

    Hi,

    I can confirm that the DNAT is needed if you use WPAD with DNS. Another test is to use firefox as browser as IE may get the correct address/port by a parallel configured DHCP option for WPAD. There is a good explanation here (but it's in german) and here (another but in english).

    These are very good explanations [:)]

    We have no transparent profile in our config and no firewall rules that would allow port 80/443 and if there is noch DNAT then I can see the dropped packets in the firewall log. Another thing is that the WPAD download from the UTM does not work if the source network does not qualify for any proxy profile.

    The DNAT rule creates automaticly a packet filter for port 80. Please take a look to the DNAT Rule. There is marked "Automatic Firewall rule". Or did I missunderstood you?

    One additional hint. With the DHCP Option you can also push the port in the URL http://wpad.domain.tld:8080/wpad.dat.
    With this configuration you don't need a DNAT Rule [;)]
    But this is not working on all systems.

    Regards
    mod
  • 0 in reply to mod2402
    Or did I missunderstood you?


    Yes, you missunderstood me ;-). I said IF there is no DNAT (or if I disable the DNAT) THEN I see the drops.

    We have the DNS + DNAT and additionaly the DHCP option with the URL incl. port and are happy and with it - it's configured as you suggest and works like a charm. 

    Regards
    Manfred
Reply
  • 0 in reply to mod2402
    Or did I missunderstood you?


    Yes, you missunderstood me ;-). I said IF there is no DNAT (or if I disable the DNAT) THEN I see the drops.

    We have the DNS + DNAT and additionaly the DHCP option with the URL incl. port and are happy and with it - it's configured as you suggest and works like a charm. 

    Regards
    Manfred
Children
No Data