Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1573 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help bypassing GFoC.

Simon Shaw
Hi,

We have two Astaro boxes.  One in China, and one in Hong Kong.
They are joined via VPN connection.

We want users in China to be able to reach certain sites, like mail.google.com
(For Gmail).

Now the GFoC blocks via a variety of methods, including DNS poisoning.  So what I have done is as follows.

1) For domain google.com I have set the Chinese firewall to lookup DNS via OpenDNS and routed the request via HK.
2) For web proxy, I have set upstream proxy for google.com to point to the internal IP of the HK firewall.  (Reached via VPN)

However it doesn't work, I am getting time outs and not seeing the traffic request on the HK box.  Does the HTTP proxy listen on the internal IP or just the external one?

Any ideas on how to proceed with this?  I have not used upstream proxy before in Astaro.


This thread was automatically locked due to age.
  • 0
    Hi Simon,

    Which VPN type are you using?

    Is DNS working now?

    The UTM http proxy listens to whatever interfaces you tell it to (under Allowed Networks).
    Listening on the WAN/Internet/External interface doesn't sound like a good idea.
    You should be able to tell it to allow the remote VPN traffic.

    Barry
  • 0
    However it doesn't work, I am getting time outs and not seeing the traffic request on the HK box. Does the HTTP proxy listen on the internal IP or just the external one?

    Hopefully, not on External, Simon - unless, of course, you want to let anyone anywhere browse via your UTM. [:D]  As Barry said, the proxy listens only to IPs in the networks listed in 'Allowed networks'.

    I suppose that, when using the proxy in China with an upstream proxy, the proxy will send the traffic to the IP used in the definition of the upstream proxy.  I think you have only one way that might get the traffic from the Chinese UTM to go through the tunnel and have it handled by the UK proxy...

      Add the IP of the Chinese UTM's "Internal (Address)" to 'Allowed networks' in the UK UTM.
    • Use the local IP of the UK proxy in the Chinese UTM definition for the upstream proxy and SNAT the traffic into the IPsec tunnel.  The IPsec Connection in China must not use 'Strict routing'.
    • SNAT : External (Address) -> Web Surfing -> {UK Proxy's internal IP} :  from Internal (Address)

    Did that work?

    Cheers - Bob
  • 0
    Don't worry, its not an open proxy on external!

    I assume the proxy server operates on the firewalls internal IP.

    DNS seems to work OK.  I will have a play and get back to you.  Thanks for the tips.

    If you have suggestion for best method here I am all ears.

    (I need Chinese sites to open normally via local connection, but certain others to come via the HK proxy so I cannot SNAT all web traffic.)
  • 0
    Watch traffic, and for traffic, with tcpdump. 
    Test from CN client and from CN UTM to/through HK UTM ("curl -x http://hkutm:8080/ http://www.google.com/").
    Don't overlook firewall rules and allowed networks.

    I have a site-to-site SSL VPN between two 9.113 UTMs and setup parent proxy for the first time last night (just a few hours before you posted).  Among the peculiarities of my setup is that the client in the VPN setup is the parent proxy.  I found needed to add a route to my VPN client UTM (maybe more - it was late) - tcpdump and curl are what got me there.  I needed to bounce the new route on the VPN client UTM after the VPN server UTM lost internet connectivity a few times this morning.
  • 0
    Hi Simon,

    In Web Filtering there is "Allowed Networks" which uses network definitions, the IPs and ranges that are allowed to use the proxy.  The proxy will listen on all interfaces (internal and external) for incoming traffic coming from those source IPs.

    I suggest you create a new network definition that contains only the IP address of the server in china (you want the external IP that would be reported by What Is My IP - The IP Address Experts Since 1999 ). Create a new Web Filter Profile that has only that network definition.  Put it in Standard mode, no authentication and create a new Filter Action that has no AV, etc.
  • 0
    Michael,

    Do I understand that suggestion correctly as to send the traffic from public IP of the child proxy to the public IP of the parent proxy bypassing the encrypted VPN link between UTMs?
  • 0
    teched: I thought that was what he was asking for.  I have reread his original post.  The network object should be the source IP that the HK UTM sees.  If its over VPN or public internet or whatever link he uses.

    I have no experience in VPN or multi-site configurations, or of real-world server hardening.  My knowledge is of HTTP proxies.