Thread Info
Options
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PAC file help

Ross86
I'm in need of some help with the proxy settings.

I'm running the UTM in transparent with AD SSO and no SSL scanning.

I want to setup standard mode with AD SSO so I can fully decrypt and scan SSL.

If I create a pac file and paste it into the auto config settings on the UTM and tick auto configuration, I'm deploying the browser settings to users via GPO registry. What settings should I have?

My UTM is in internal DNS as utm.domain.com IP 10.0.0.254.  In the pac file does it need to be 10.0.0.254:8080 or can I use Utm.domain.com:8080?  Likewise In the browser auto url does it have to be Http://10.0.0.254:8080/wpad.dat or can this be dns host name?

I've played around with different combinations but wondered what the correct way should be.

If a user doesn't have any proxy browser settings it just lets them out to any site, I basically want them to go through the web protection proxy and if they can't don't allow them to the internet, however if they aren't on the corporate network then I would  allow them to go direct to the internet.

There are so many kbs on how to configure it and how to distribute it's confusing!


This thread was automatically locked due to age.
  • 0
    Figured this out, I had the web surfing rule for internal so when In standard mode if the proxy wasn't configured clients can browse direct.

    How does everyone else configure the proxy?

    I'm thinking of two options:

    1) Pushing out the pac file url for all internal user PCs but keep the proxy in transparent mode which will proxy any server/PC that it doesn't apply to.

    2) Push the pac file url out the same as option 1 but use standard mode, no clients will have internet access unless they receive the proxy settings.
    • 0
      Just add a dnat rule. Port 80 -> internal Interface and forward to port 8080. Then configure WPAD in DHCP and / or DNS. 

      Now, you can use auto configuration in your browser without any gpo or pac URL.

      regards
      mod
      • 0
        Ok thanks I'll try that [:)]
        • 0
          Ross, my usual approach is to have the default in Transparent and a Profile in Standard mode.

          I'll be interested to know if Mod's trick works.  I think browsers send more information when using an explicit proxy.  Certainly, the other services in 'Allowed services' won't be handled.

          Cheers - Bob
           
          Sophos UTM Community Moderator
          Sophos Certified Architect - UTM
          Sophos Certified Engineer - XG
          Gold Solution Partner since 2005
          MediaSoft, Inc. USA
          • 0
            @Bob
            Believe it. This is also working perfectly with other services in 'Allowed services' [:)]

            This is a "must have" for customers that use Microsoft Direct Access.

            But your solution is also a good alternative solution [;)]

            regards
            mod
            • 0
              Thanks for that as well bob, I'll try both methods.

              Is there any particular reason you have a separate profile for the standard mode?

              By that I mean could you just use the default profile in transparent but explicitly set some clients to use the proxy and any remaining clients will go through transparently.
              • 0
                @Ross
                In transparent mode, you can also use proxy settings in your browser.
                In transparent mode the proxy also listens to port 8080.
                In standard mode the proxy listens only to port 8080.

                But there are many reasons to use more then one profile.
                You can splitt the traffic in Network segments. You can use different authentication profiles. You can use one profile with https inspection and one with URL filter only.
                ....

                At my home I use WPAD with auto configuration for a standard Proxy Profile without authentication. One standard profile with ad sso authentication, one transparent profil for my LG TV and Smartphones. 

                There a many scenarios that you can build [;)]
                • 0
                  Just add a dnat rule. Port 80 -> internal Interface and forward to port 8080. Then configure WPAD in DHCP and / or DNS. 

                  So, in addition to the DNAT, you also give the browsers WPAD with instructions for using the proxy?  Or am I confused.

                  Cheers - Bob
                   
                  Sophos UTM Community Moderator
                  Sophos Certified Architect - UTM
                  Sophos Certified Engineer - XG
                  Gold Solution Partner since 2005
                  MediaSoft, Inc. USA
                  • 0
                    just mark auto-detect settings in the browser and configure a WPAD host entry in dns with the internal ip address from the utm.

                    Take a look at that site:
                    Setting up Web Proxy Autodiscovery Protocol (WPAD) using DNS | Open Source Open Standard

                    For Windows dns, you must remove wpad from the globalqueryblocklist.
                    Removing WPAD from DNS block list

                    regards
                    mod
                    • 0
                      Thanks mod the explanation on profiles makes much more sense now.