Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 5067 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multipath, Proxy und NAT

skysurferjh
Ich habe trotz intensiver Forum Suche noch eine Verständnis Frage.
Wir haben 2 ISP´s die ich mit eigenem GW und einer Multipathregel versehen habe.  Die Regel lautet: 
grp_interne_Netze -> Web Surfing -> Any -> ISP_02
Ziel ist das für das Websurfen IPS_02 genommen wird. ISP_01 hat hier keine Regel und dient ausschließlich für VPN (Site-to-Site). Die NAT (Masq.) Regel heißt:  grp_interne_Netze -> Uplink_Interfaces
Jetzt soll der Webtraffic aber noch über einen transparenten Proxy.
Hier ist die Einstellung: Gruppe zugelassener Netze: grp_interne_Netze 
Leider sieht man weder in der Proxy Übersicht, noch im Web-Security Bericht das überhaupt Traffic durch den Proxy geht. Dort sind seit Tagen 0 Anfragen.
Was könnte dort schief laufen?


This thread was automatically locked due to age.
  • 0
    Du musst die Multipathregeln so abändern, dass als Quelle für den HTTP/S-Traffic nicht mehr das 'Internal Network' benutzt wird, da Webtraffic ja nun durch den Proxy lokal auf dem ASG initiiert wird. Ersetze daher in der Multipath-Regel 'Internal Network' durch 'Uplink Primary Addresses' (DST Port: 80, 443)
  • 0 in reply to trollvottel
    Vielen Dank für den Tipp. Ich habe das jetzt so konfiguriert und warte mal bis Montag, ob dann Traffic über den Proxy auftaucht. [:)]
  • 0 in reply to skysurferjh
    Als Ergebnis habe ich jetzt, das der Proxy nur dort genutzt wurde, wo in der Gruppe grp_Internet_Zugriff ein komplettes Netz eingetragen ist. Einzelne Server tauchen dort nicht auf und gehen direkt ins Internet. Daraus[:S] schließe ich, das man bei der Konfiguration, tatsächlich nur Netze eintagen kann?
  • 0
    Das stimmt nicht ganz. Die HTTP Proxy Multipath Regeln können als einzige Proxy Regeln auch auf die original IP Adresse des Clients matchen. D.h. es sollte auch funktioniert haben, als Source grp_interne_Netze war.

    Kannst du bitte nochmal den Source der Multipath Rule auf grp_interne_Netze ändern?
    Das ganze sollte auch mit Host Definitions funktionieren.

    Hast du mehrere HTTP Proxy Profile?

    Schöne Grüße
     Ulrich
  • 0 in reply to da_merlin
    Ich habe deinen Rat befolgt und als Source der Multipath-Regeln die Gruppe "grp_interne_Netze" eingetragen. Auch dann geht kein Traffic über den Proxy. Ich habe keine Proxy Profile angelegt, so dass meine Einstellung wohl als "Global" läuft. So habe ich das aus dem Handbuch verstanden.
  • 0 in reply to skysurferjh
    Ich war wohl etwas zu ungeduldig! Nach 2 Stunden ist jetzt genug Traffic im Dashboard, als auch im log zu sehen. Die Gruppe interne Netze läuft jetzt wie gedacht. Danke für die Ideen.[:)]
Unfiltered HTML