Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3560 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PAC and RED Branches

aldahan
Hello,

We have deployed a default block filter profile to our RED branches (Standard/Split Config - only HQ LAN traffic is allowed, external will go to the branch internet connection directly) using our SG430 in the HQ, we deployed this using GPO for their browsers, we implemented Office 365 with hosted Exchange Online, unfortunately it needs HTTP and HTTPS to open for Exchange online to work, we define some exception to the PAC file;


// Office 365 Exchange Online Bypass Web Proxy 
 
if (dnsDomainIs(host, ".outlook.com"))
    return "DIRECT";
if (dnsDomainIs(host, ".office365.com"))
    return "DIRECT";

With this modification to the PAC file means all the traffic for these definition will go to the  RED Branches internet connection directly "not through the Web Filter Proxy on HQ?" are we on the right track? Because we have limited bandwidth on our HQ going to our RED that's why we want to achieved these...


This thread was automatically locked due to age.
  • 0
    What do you want to do?

    Clients behind RED use proxy Service and are going through RED tunnel into Internet.
    Only office365 Traffic is going directly to Internet through branch Office Connection?

    Then this is a good way to do it.

    But I would recommend using no RED at Branch Office. I would recommend using a UTM, and have a VPN or RED Tunnel between them. With this you have complete control over Branch Traffic.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    What do you want to do?

    Clients behind RED use proxy Service and are going through RED tunnel into Internet.
    Only office365 Traffic is going directly to Internet through branch Office Connection?

    Then this is a good way to do it.

    But I would recommend using no RED at Branch Office. I would recommend using a UTM, and have a VPN or RED Tunnel between them. With this you have complete control over Branch Traffic.

    Sven


    yes, only Office 365 traffic will connect directly to the branches internet connection, is this achievable without using an onsite proxy server? we don't want to spend for  small UTM's for  our branches that have only 5 nodes for each...also the RED's are already deployed for almost 40 branches...
  • 0
    By the way after testing these entries to the PAC file, our HQ Web Proxy is still answering for  these traffic, is there any way to tell to the PAC on the  Web proxy that is these entries are present, tell the browser or the Office 2013 app to just ignore it and use the RED branch internet connection directly?...
  • 0
    Aldahan, was the PAC file working before?  If so, then I wonder if changing to "*.outlook.com*" and "*.office365.com*" wouldn't solve the problem.

    Cheers - Bob
    PS I merged your two threads, deleting the one in the RED forum because this question really has nothing to do with RED.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Aldahan, was the PAC file working before?  If so, then I wonder if changing to "*.outlook.com*" and "*.office365.com*" wouldn't solve the problem.

    Cheers - Bob
    PS I merged your two threads, deleting the one in the RED forum because this question really has nothing to do with RED.


    I will give this a shot, thank you..
  • 0 in reply to BAlfson
    Aldahan, was the PAC file working before?  If so, then I wonder if changing to "*.outlook.com*" and "*.office365.com*" wouldn't solve the problem.

    Cheers - Bob
    PS I merged your two threads, deleting the one in the RED forum because this question really has nothing to do with RED.


    The best to check if the bypass is working is not seeing it logging to the web filter am I right?
  • 0
    Hi,

    We're having issues with this as well.. as in branch office users behind the RED are having intermittent issues connecting to the Microsoft Exchange (O365) using outlook. Thinking of bypassing Office 365 traffic to the internet directly.

    However, how can you modify the PAC file so just the Branch Office users are bypassing the O365 traffic and not everyone else ?

    My PAC file is distributed using the UTM and it looks like : 

    function FindProxyForURL(url, host)

        {

    		

    	// If IP address is internal or hostname resolves to internal IP, send direct.

            var resolved_ip = dnsResolve(host);

    

    	// If the requested website is hosted within the internal network, send direct.

        if (isPlainHostName(host) ||

            shExpMatch(host, "*.domain.local") ||

            isInNet(dnsResolve(host), "10.0.0.0", "255.0.0.0") ||

            isInNet(dnsResolve(host), "172.16.0.0",  "255.240.0.0") ||

            isInNet(dnsResolve(host), "192.168.0.0",  "255.255.0.0") ||

            isInNet(dnsResolve(host), "127.0.0.0", "255.255.255.0"))

            return "DIRECT";

               

    	// All other traffic uses below proxies, in fail-over order.

    	return "PROXY utm-hq-01.domain.local:8080";

        }
  • 0
    Please see FindProxyForURL - PAC & WPAD Resource for a good informational site about PAC files and different functions you can use in yours to achieve this.  The first entry on the PAC Functions page should work nicely for this.  To have two parameters be checked, you'll need to do some anding.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Unfiltered HTML