This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Requests: configuration proxy profiles for use different public source IP

[LEFT]I would like to add feature request: possibility of configuration  http proxy profiles for use different public source IP addresses the same way as is  done by doing SNAT for outgoing packets from different local networks.
[LEFT]Today, all outgoing traffic  by proxy using the main address of the interface, which has a default gateway  configured. This often causes problems, because often we want to different local area  networks were visible on the outside with different public IP addresses (which  can be configured as additional addresses public WAN interface).[/LEFT]

Since I use Astaro and its proxy is still lacking this feature to me, I hope that  the rest of the Astaro also notes the need for it.

Best Regards,
WaMaR
[/LEFT]


This thread was automatically locked due to age.
Parents
  • WaMaR, have you looked at Astaro KnowledgeBase Article # 290074? - would that solve your problem?  I realize it would mean using an additional interface and adding a switch if your WAN router doesn't have multiple Ethernet ports.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Bob,

    I read the article "Policy Route proxied traffic to a second WAN Connection " number 290074 from the Astaro Knowledgebase http://portal.knowledgebase.net/article.asp?article=290074&p=5956
    [LEFT]but this is not the solution to the problem.

    [LEFT]Suppose that you have only one WAN link with a throughput 20Mb/s with the ISP assigned you the entire pool of public IP addresses Class C. Astaro WAN interface use only 1 public IP as main address and you configure additional IP addresses for this WAN interface. You can use SNAT for translation to take advantage of these additional public IP addresses, but you can't configure http proxy profiles to use it for proxy public source IP address.
    [/LEFT]

    [/LEFT]
    Regards,
    WaMaR
  • I understand now that you want to have, for example, 'Internal Subnet A' access the internet with 'Public IP 1' and 'Internal Subnet B' access with 'Public IP 2'.

    Can't you just do two different masquerading rules?

    'Internal Subnet A' -> 'External Interface 1'
    'Internal Subnet B' -> 'External Interface 2'


    Or, have I still misunderstood what you want to accomplish?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Yes, I want for example, 'Internal Subnet A' access the internet with 'Public IP 1' and 'Internal Subnet B' access with 'Public IP 2'.


    Can't you just do two different masquerading rules?

    'Internal Subnet A' -> 'External Interface 1'
    'Internal Subnet B' -> 'External Interface 2'



    Yes, when I use two or more External Interfaces with dynamic public IP assigned I can use masquerading in Astaro, but much better is use SNAT rules in particular, when I  have the only one interface and assigned to the them additional public IP addresses.

    Unfortunately, whether using Masquerading or SNAT, http proxy (as with other proxies) use only one public IP address.
  • I wonder if this does what you want?  See Gert's post at the end: https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20441

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply Children
  • Bob,
    Unfortunately, I am afraid that this will only MASQUERADE the same functionality already offered by SNAT, and that no action will be concerned PROXY. 
    Best Regards,
    WaMaR
  • With SNAT, you must use the External (Address) as the source, so it changes the source for all HTTP traffic.  With Masquerading, outbound traffic from internal subnets can be assigned to individual external interfaces.  Have you tried defining masq rules like:

    'Internal (Network)' -> [External interface #1]'
    'PUBLIC (Network)' -> [External interface #2]


    ... then connecting both external interfaces through a switch to your WAN connection?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • With SNAT, you must use the External (Address) as the source, so it changes the source for all HTTP traffic. 


    Why?  I use internal address as the traffic source where source IP is replaced to public IP address of the external interface by SNAT.

    With Masquerading, outbound traffic from internal subnets can be assigned to individual external interfaces. Have you tried defining masq rules like:

    'Internal (Network)' -> [External interface #1]'
    'PUBLIC (Network)' -> [External interface #2]

    ... then connecting both external interfaces through a switch to your WAN connection?


    Yes, I tried but I do not have so much free interfaces. I do the same using SNAT and with SNAT I can use additional public addresses assigned to the external interface with Masquerading I can't.

    Cheers - WaMaR
  • With SNAT, you must use the External (Address) as the source, so it changes the source for all HTTP traffic.Why? I use internal address as the traffic source where source IP is replaced to public IP address of the external interface by SNAT.

    Because, as I understand it, the current trick to getting HTTP traffic to go out a Secondary interface is to make a SNAT:

    Source: External (Address)
    Service: HTTP
    Destination: Any
    Change to:
    Source: Secondary (Address)


    Have I misunderstood what you want to do?

    Cheers - Bob
    PS Since my post on 4-24, I've gotten the impression that you are right that the HTTP Proxy always sends the traffic out the primary External interface regardless of the masq rules.  I don't understand that, but that's what I've absorbed over the last 10 days.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi,

    It can start from the beginning. To be clear, with HTTP network traffic without running transparent proxy I can use SNAT to release on the outside using any interface and defined additional IP addresses. With Masquerading I can't.
    As rightly noticed in the future will enable a new feature that is described in the thread https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20441.
    [LEFT][LEFT]I personally think that this feature is redundant if the same effect is achieved using a SNAT.

    But above all this is not my problem. My problem and my new feature request application for HTTP network traffic which uses a transparent proxy.
    [/LEFT]

    I just, I would like to have the same flexibility as using SNAT in the definition of the internal networks (as I have the dozen or so) for which the public IP address by the transparent proxy is to go to the Internet.

    [LEFT]I hope this will help understand my problem and all the administrators who have lots of local area networks and would like to use transparent HTTP proxy on the outside have been shown under different public IP addresses.

    Best Regards,
    WaMaR
    [/LEFT]

    [/LEFT]
  • Please vote for it on the page WebSecurity: Extra Transparent HTTP Proxy

    Best Regards,
    WaMaR
  • I think the Endian firewall allows you to nominate the Ip address/interface to be used for each proxy they have.  It makes it all very simple with no SNAT rules or policy based routing rules to be set.  All handled by the system.

    I'd love to see this capability in Astaro.  HTTP, SMTP, VoIP, POP etc all could be set to separate interfaces or IPs without having bother with potential conflicts or multiplicity of (confusing) rules.  Let's face it, by the time you have a number of Policy Based Rules and SNAT rules set up (in different locations), it becomes confusing to visit it again later and worked out was was done and why.
  • [LEFT]Thanks for your understanding and invite you to vote at WebSecurity: Extra Transparent HTTP Proxy
    in support for this idea.

    Best Regards,
    WaMaR
    [/LEFT]
  • Once upon a time I was not on the forum, but from what I see the problem with using only a single IP address for the HTTP and SMTP Proxy (the most important of all the proxies) is further along in Astaro Version 8.

    It is a great pity that Astaro is not yet offers opportunities for different configurations such as the local subnet with different security policies for use proxy with additional public IP addresses configured on the WAN interface.

    Please more vote for this issue.
    I believe that many of us who use more than one local subnet, such functionality is long overdue.

    Best Regards,.
    WaMaR