Dual WAN router met proxy instelling op WAN. - Netwerken

vrijdag 18 februari 2011 16:09

Acties:

Topicstarter

Hallo allemaal,

Wij krijgen de laatste tijd veel te maken met klanten die een beveiligde verbinding nodig hebben waarvoor je een proxyserver moet instellen om via die lijn te kunnen internetten.

Naast deze lijn hebben we in de meeste gevallen een normale KPN ADSL lijn liggen. We gebruiken een Zyxel USG/100 met 2 WAN poorten om de twee verbindingen op aan te sluiten. We willen al het normale http verkeer gewoon via de KPN ADSL laten lopen en bijvoorbeeld https via de beveiligde verbinding.
Nu lukt dit wel met een hele aparte configuratie, maar het probleem is dat op de werkplekken alsnog een proxy ingesteld moet worden, en hier willen we vanaf.

wat ik dus zoek en niet kan vinden... is een DUAL WAN router waar ik dus een proxy kan instellen op 1 van de WAN poorten zodat er geen proxy op de werkplekken ingesteld hoeft te worden.

Iemand bekend met zo´n router want ik kan hem niet vinden

zaterdag 19 februari 2011 12:04

Acties:

DJSmiley

Is die proxy perse verplicht of is dat nu een workaround geworden?

Ik begrijp dat je dus 2 verbindingen hebt: internet en 'applicatiepartij'.

Kun je niet een router pakken met meerdere interfaces, op 1 daarvan de 2e modem aansluiten,en gewoon routing rules toepassen, dus verkeer voor bestemming applicatie over die 2e link routeren?

Ik heb vergelijkbare setups gemaakt, zelfs met 3 verbinding. Internet? -> glasvezel. Autoleverancier? -> sdsl van die partij met dedicated lijn. Pinverkeer? -> adsl lijntje.

zondag 20 februari 2011 10:05

Acties:

The-Source

En de proxy is niet via policies vanuit een server te regelen?

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

maandag 21 februari 2011 13:28

Acties:

Bollux

Topicstarter

DJSmiley schreef op zaterdag 19 februari 2011 @ 12:04:
Kun je niet een router pakken met meerdere interfaces, op 1 daarvan de 2e modem aansluiten,en gewoon routing rules toepassen, dus verkeer voor bestemming applicatie over die 2e link routeren?

Ja de proxy is verplicht.. dat is het hele probleem. HTTP verkeer moet via de normale ADSL gaan en bijv. HTTPS via de beveiligde verbinding. Je kunt wel een mooie routing maken, maar zolang je in je internet explorer geen proxy invult doet hij het niet. En daar wil ik juist vanaf..

klaasbram schreef op zondag 20 februari 2011 @ 10:05:
En de proxy is niet via policies vanuit een server te regelen?

En hoe bedoel je dat dan?

[ Voor 15% gewijzigd door Bollux op 21-02-2011 13:28 ]

maandag 21 februari 2011 21:27

Acties:

The-Source

Nou check dit artikel eens: https://support.smoothwal...ewarticle&kbarticleid=144
Verder kun je dus zoeken met google op : group policy proxy en dan met bijvoorbeeld de windows server versie die je draait.

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

dinsdag 22 februari 2011 09:11

Acties:

Bollux

Topicstarter

We draaien helaas geen active directory... en ik wil juist geen proxy ingesteld hebben..

[ Voor 35% gewijzigd door Bollux op 22-02-2011 09:11 ]

dinsdag 22 februari 2011 10:11

Acties:

lier

MikroTik nerd

Dus als ik het heel kort moet samen vatten wil je ervoor zorgen dat al je HTTPS verkeer langs één WAN aansluiting gaat (wat ook wel logisch is, omdat het IP adres vaak gebruikt wordt tijdens de HTTPS sessie.

Volgens mij ondersteunen de meeste (alle) dual WAN routers dit, ik vond bijvoorbeeld dit topic waarin het vermeld wordt.

edit:
Bijvoorbeeld de Draytek 2910 series doet het zo.

[ Voor 14% gewijzigd door lier op 22-02-2011 10:20 . Reden: Even verder gezocht ]

Eerst het probleem, dan de oplossing

vrijdag 25 februari 2011 10:42

Acties:

Bollux

Topicstarter

dit kan ook dat ik het probleem ook niet........ wat ik heletijd al vertel is dat over 1 WAN poort moet een proxy gebruikt worden.. en dat wil ik dus niet!! want je moet dan bij de internet explorer een proxy invullen.. als je dan HTTP verkeer via de andere lijn zonder proxy wil gebruiken heb je een proxy ingesteld en werkt dat dus niet..

ik wil dus geen proxy ingesteld hebben maar wel HTTPS via de WAN waar je een proxy voor nodig hebt gebruiken.

vrijdag 25 februari 2011 13:30

Acties:

lier

MikroTik nerd

Probeer nu eens duidelijk aan te geven waarom en van wie je de proxy moet gebruiken. En wat werkt bijvoorbeeld niet meer als je het niet in vult?

Het blijft op deze manier een beetje koffiedik kijken.

Eerst het probleem, dan de oplossing

woensdag 9 maart 2011 08:57

Acties:

Bollux

Topicstarter

De lijn waar een proxy gebruikt moet worden is een beveiligde lijn voor zorgverleners. Deze moeten de ene keer inloggen bij het ziekenhuis(via https) of een andere koppeling met een zorginstantie gebruiken. Dit is verplicht om via de beveiligde lijn te doen. Zonder die lijn werkt het dus niet.

woensdag 9 maart 2011 09:07

Acties:

lier

MikroTik nerd

Wellicht ten gevolge van een chronisch slaap tekort...kan je het eens in Jip en Janneke taal proberen uit te leggen, want ik begrijp er nog steeds niets van.

Eerst het probleem, dan de oplossing

woensdag 9 maart 2011 11:20

Acties:

kokkel

lier schreef op woensdag 09 maart 2011 @ 09:07:
Wellicht ten gevolge van een chronisch slaap tekort...kan je het eens in Jip en Janneke taal proberen uit te leggen, want ik begrijp er nog steeds niets van.

Denk dat ik het wat beter begrijp, uitleg:
1 modem/router 2 wan aansluitingen, 1e aansluiting - normale internet verkeer, 2e aansluiting - verbinding naar het ziekenhuis (https verkeer).

Over de 2e aansluiting naar het ziekenhuis, moet hij een proxy invullen om daar te komen. Dit wil hij hij graag vermeiden, en vroeg zich af of die zeiktel te misleiden is om het zo te realiseren.

Daarbij heb zijn er nog wel wat vragen.
1- is dit je eigen proxy adres of is deze remote.
2- Handeld deze proxy de login requests af.

Oplossing:
Je zou kunnen proberen om een route aan te geven naar de target over die specefieke verbinding. Dit is verkeer onafhankelijk dat houd in alle verkeer dat daar heen moet, gaat over die lijn ook al is deze geen HTTPS. Als die zyxtel het ondersteund zou je ook specefiek https verkeer met dat adres kunnen redirecten over die betreffende lijn. Maar ik ben bang dat dit een login proxy is en dus verplicht vanuit het ziekenhuis, als dit het geval is kom je er niet onderuit.

[ Voor 8% gewijzigd door kokkel op 09-03-2011 11:21 ]

woensdag 9 maart 2011 11:38

Acties:

Paul

Wat je zoekt is een transparant proxy, redirect alles dat naar naar *:443 (of beter gezegd, als je de ip-adressen van het ziekenhuis weet ip.ad.dr.es:443) verbindt naar proxy:8080 (of zo)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 9 maart 2011 14:16

Acties:

Bollux

Topicstarter

@kokkel:
De situatie klopt zoals jij deze hebt beschreven, in de zyxel heb ik al een route gemaakt dat al het HTTPS verkeer via de 2de(beveiligde) verbinding moet lopen, dat is het probleem ook niet. Ik kan routeren wat ik wil.. als ik deze HTTPS pagina wil benaderen MOET ik een proxy in hebben gesteld in de browser en dat wil ik dus niet. geen proxy login nodig..

@Paul Nieuwkamp:
Een transparante proxy aan de kant van de provider zou natuurlijk ideaal zijn! In dat geval hoef ik geen proxy te gebruiken. Toch kiest deze provider er blijkbaar toch voor om de gebruikers handmatig een proxy in te laten vullen.
De Zyxel USG-100 is een zeer uitgebreid apparaat, maar toch kan ik hier niets met proxy's en kan het ook niet vinden bij andere merken/type DUAL WAN routers. Deze situatie zal wel niet vaak voorkomen helaas..

woensdag 9 maart 2011 14:43

Acties:

DJSmiley

Joshualoman schreef op woensdag 09 maart 2011 @ 14:16:
@kokkel:
De situatie klopt zoals jij deze hebt beschreven, in de zyxel heb ik al een route gemaakt dat al het HTTPS verkeer via de 2de(beveiligde) verbinding moet lopen, dat is het probleem ook niet. Ik kan routeren wat ik wil.. als ik deze HTTPS pagina wil benaderen MOET ik een proxy in hebben gesteld in de browser en dat wil ik dus niet. geen proxy login nodig..

@Paul Nieuwkamp:
Een transparante proxy aan de kant van de provider zou natuurlijk ideaal zijn! In dat geval hoef ik geen proxy te gebruiken. Toch kiest deze provider er blijkbaar toch voor om de gebruikers handmatig een proxy in te laten vullen.
De Zyxel USG-100 is een zeer uitgebreid apparaat, maar toch kan ik hier niets met proxy's en kan het ook niet vinden bij andere merken/type DUAL WAN routers. Deze situatie zal wel niet vaak voorkomen helaas..

Volgens mij kun je met Squid een transparante proxy opzetten, en hierop bepaalde bestemmingen 'forwarden' naar een 2nd proxy.

Maar goed, dan zul je wel op een dd-wrt of pfsense oid oplossing uitkomen.

woensdag 9 maart 2011 15:59

Acties:

Paul

In de user manual kopje 6.5.11 hebben ze het over 'HTTP redirect', heb je daar iets aan? Ik kan er niet uit opmaken of het ook HTTP/S doet...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 9 maart 2011 16:10

Acties:

Bollux

Topicstarter

@DJSmiley:
Een collega van mij heeft een pfsense appliance besteld voor andere doeleinde, maar die ik ga ik effe in beslag nemen om te testen

, thx for the advice!

@Paul Nieuwkamp:
Hier heb ik al mee zitten testen, maar hier kan ik helaas niet mee doen wat ik wil.