Proxy für bestimmte URL?

Hallo msp2010,

ich habe ein ähnliches verhalten mit bestimmten Webseiten die dem Sicherheitspaket DATEVnet zugeordnet sind.

Ich habe das ganze über Routing-Einträge abfrühstücken können.

In der Version 9.1 + 9.2 gibt es unter "Web Filter Profiles" -> "Parent Proxies" die Möglichkeit spezielle hosts hinzuzufügen.

Use proxy for these hosts: Add hosts to this box for which the parent proxy is to be used, e.g. *.wikipedia.org. Note that you can use pattern matching here. Regular expressions, however, are not allowed. If you leave the box empty, an asterisk (*) is automatically added when clicking Save, which matches all hosts. Such a proxy definition can therefore be regarded as a fallback proxy which matches when none of the other proxies, if existent, do.

Das meint ihr, oder?

Das kommt schon so in diese Richtung. Aber ich habe Citrix XenApp am Laufen und somit kann ich keine Hosts angeben. Ich müsste also die Ziel-URL mit dem ParentProxy verknüpfen können.

Grüße
msp

Wie lautet die URL denn (Beispiel)? Im Beispieltext ist doch auch eine URL angegeben.

Die URL ist eine interne IP die ich durch einen VPN-Tunnel erreiche:

http://192.168.30.10/

Grüße 
MSP

Ich nehme für so etwas immer eine proxy.pac. Die kann man zentral auf der ASG ablegen. Beim transparenten Proxy kannst Du allerdings nur die Parent Proxy Einstellung verwenden. Ob es mit einer IP statt Domäne klappt musstDu allerdings ausprobieren.

@msp2010

ich habe hier eine URL die ich nur über einen bestimmten Proxy aus dem Internet erreichen kann. Das ist vom Anbieter dieser Webseite auch so gewollt. 

Wenn das stimmt, dann müsste ja auf der 192.168.30.10 LOKAL eingerichtet sein,
dass nur Verbindungen von der IP-Adresse des Proxys angenommen werden.

Wenn das wirklich der Fall ist und es sich um einen IPsec-S2S-Tunnel handelt,
dann kannst du das auf zwei Wegen lösen:

1. Möglichkeit:

Du erstellst auf deiner UTM eine SNAT-Regel, die HTTP-Traffic in Richtung 192.168.30.10 auf die öffentliche IP-Adresse des Proxys nattet ( man kann mit der UTM auf jede beliebige IP-Adresse natten ).

Falls du in der NAT-Regel die automatischen Firewall-Regeln aktivierst,
dann benötigst du keine zusätzliche Firewall-Regel,
ansonsten musst du natürlich manuell eine anlegen.

Zusätzlich muss auf beiden Seiten die Konfiguration des IPsec-Tunnels angepasst werden,
also die öffentliche IP-Adresse des Proxys in die Tunnel-Konfiguration aufgenommen werden.

Bitte beachte, dass auch die Gegenseite eventuell eine zusätzliche Firewall-Regel benötigt,
wenn nicht die automatischen Firewall-Regeln in der Tunnel-Konfiguration aktiviert sind.

2. Möglichkeit:

Es wird auf der Gegenseite ( also auf der UTM, wo die 192.168.30.10 angebunden ist ) eine SNAT-Regel
erstellt, die das SNAT auf die Proxy-IP-Adresse durchführt.

Diese Möglichkeit ist die einfachste, aber die SNAT-Regel muss dann natürlich von jemanden auf der Gegenseite gemacht werden ( es sei denn du hast auch Zugriff auf die betreffende UTM ).

Wenn es nicht stimmt, dass auf der 192.168.30.10 konfiguriert ist, dass nur Verbindungen von der IP-Adresse des Proxys angenommen werden, dann pack' die 192.168.30.10 einfach mal in die Destination-Host-Skip-Liste des WebProxys.

Das kannst du machen unter "Web Protection" -> "Web Filtering" -> "Advanced" im Bereich "Skip transparent mode destination hosts/nets".

Zusätzlich benötigst du eine Firewall-Regel, die HTTP in Richtung 192.168.30.10 erlaubt.

Diese Regel benötigst du nur dann, wenn nicht bereits entsprechende Regeln existieren oder in der Tunnel-Konfiguration die automatischen Firewallregeln aktiviert sind ( dann wird ANY aus den lokalen Netzen in Richtung Remote-Netze und ANY aus den Remote-Netzen in Richtung der lokalen Netze erlaubt ).

Gruß, Datax