Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 38 subscribers
  • Views 1738 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Externer Transparenter Proxy in ASG 320 einbinden

ogertian
Hallo zusammen,

Ich möchte hinter eine ASG 320 für ein Netz einen transparenten Proxy Server (seperater Linux Rechner) betreiben. Wie löse ich das ganze am besten? 

Netz 172.30.x.x
ASG 320 172.30.0.1 (Gateway)
Proxy 172.30.0.2

schon mal vielen Dank.


This thread was automatically locked due to age.
  • 0
    Ich weiß zwar nicht genau, was genau die Frage ist, aber ich versuch's mal:

    An deiner Stelle würde ich den Linux-Proxy als Standardgateway deiner Clients nutzen, ihn auch als Router konfigurieren und die astaro dann in einem eigenen Netz dahinter klemmen, so dass sie nicht von irgendwelchen "Schlaubergern" direkt erreicht werden kann.

    Sähe dann ungefähr so aus:

    netz(172.30.x.x) --> Proxy/Standardgateway(172.30.0.2) --> Standardroute auf astaro(192.168.0.1)--> Internet
  • 0 in reply to Krycek
    danke für die idee, aber ich möchte es ungern so lösen denn der proxy soll vielleicht auch noch für andere netze seine aufgabe erfüllen.

    So stell ich es mir vor
    asg bleibt standard gateway für diese netz und der ganze traffic auf port 80 wird über diesen proxy geleitet die sollte doch möglich sein oder?

    würde mich über lösungsvorschläge oder auch ideen freuen!
  • 0 in reply to ogertian
    danke für die idee, aber ich möchte es ungern so lösen denn der proxy soll vielleicht auch noch für andere netze seine aufgabe erfüllen.

    So stell ich es mir vor
    asg bleibt standard gateway für diese netz und der ganze traffic auf port 80 wird über diesen proxy geleitet die sollte doch möglich sein oder?

    würde mich über lösungsvorschläge oder auch ideen freuen!


    Ist relativ einfach:
    Unter -> Web Security -> HTTP/S -> Erweitert:
    findest du den unten angehängten Beitrag. Einfach diesen externen Proxy dort eintragen und den Proxy der Astaro auf transparent für alle aktiv einstellen.

    Das wars auch schon.

    Kleiner Tipp: Server würde ich dort ausschliessen ... 

    Grüße

    Schroeder
  • 0
    öhm... da baust du aber ne schöne schleife, wenn der proxy dann wieder die anfrage zurück an die astaro schickt... es sei denn der proxy hängt jetzt direkt am internet, wodrin ich aber irgendwie keinen sinn sehe...
  • 0 in reply to Krycek
    öhm... da baust du aber ne schöne schleife, wenn der proxy dann wieder die anfrage zurück an die astaro schickt... es sei denn der proxy hängt jetzt direkt am internet, wodrin ich aber irgendwie keinen sinn sehe...


    das ist blödsinn ...
    Aufgrund von SYN und ACK weis die Astaro wem sie was zustellen soll ...
    Vom Proxy kommt doch keine Anfrage sondern eine Antwort .... Die Astaro wird das auseinanderhalten! Ne Schleife ist da nicht erkennbar ... (sonst wäre die Funktion ja auch wohl kaum vorhanden)

    Grüße

    Schroeder
  • 0
    ?!?! moment... wenn die astaro die verbindung zum internet herstellt, sie aber intern einen proxy benutzt, der dann wiederum die internetverbindung über die astaro aufbaut, die dann wieder an den proxy schickt... wo ist das blödsinn!?

    wie gesagt: so habe ich das verstanden. wenn der proxy selbst irgendeinen anderen weg ins internet kennt funktioniert das natürlich.
  • 0 in reply to Krycek
    danke schon mal werde ich aufjedenfall testen... bin noch am beginn vom aufbau.
    ich hab noch 2 wan zugänge eine standleitung für alles und eine dsl leitung für den proxy der ein netz bedienen soll...
    für tips bin ich dankbar, sobald die Konfiguration funktioniert werde ich hier mehr berichten.
  • 0 in reply to ogertian
    [SIZE="5"]SCHLEIFE[/SIZE]

    Also das funktioniert doch nicht so wie oben beschreiben, sobald ich das so machen gibts eine schleife.... obwohl ich ja eigentlich den Proxy vom Astaro Proxy augenommen habe. 
    wie binde ich nun diesen ein damit ich keine schleife produziere!

    müsste doch auch mit iptables funktionieren... DNAT/SNAT...

        * iptables -t nat -A PREROUTING -i eth0 -s ! squid-box -p tcp --dport 80 -j DNAT --to squid-box:3128
        * iptables -t nat -A POSTROUTING -o eth0 -s local-network -d squid-box -j SNAT --to iptables-box
        * iptables -A FORWARD -s local-network -d squid-box -i eth0 -o eth0 -p tcp --dport 3128 -j ACCEPT

    dies hab ich in einem HowTo gefunden... 

    Transparent Proxy with Linux and Squid mini-HOWTO: Transparent Proxy to a Remote Box
  • 0 in reply to ogertian
    Wenn die Astaro als Transparenter Proxy arbeitet,
    und sie wiederum alle Anfragen an squid-box weitershickt,
    und diese wiederum über Astaro surft
    dann hast du deine Schleife.

    Wenn das so gewollt ist, dafür gibts eine Option unter Advanced, dort kannst du squid-box ausklammern.

    Es wäre aber deutlich einfacher und übersichtlicher bei den Clients die squid-box als Proxy einzutragen und auf Astaro den Proxy ganz abzuschalten.
  • 0 in reply to gkemter
    ich hab den externen proxy ausgeklammert leider führt das nicht zum gewünschten erfolg.... (für mich unlogisch...)
    alternativ kann man dem proxy 2 netzwerkkarten verpassen und die eine mit der dmz verbinden... (dual home) aber find ich umständlich und eigentlich kann ich mir dann ne dmz gleich sparen...
Unfiltered HTML