Regardez ici: https://forum.pfsense.org/index.php?board=7.0

Poster votre question la-bas.

PS: Ce n'est pas le bon forum pour IPTables.

Contrairement aux apparences, SSL-Bump n'est pas réservé au proxy en mode transparent.
ça n'a d’ailleurs rien à voir  ;)

SSL6bump se charge d'intercepter le flux HTTPS (je suis d'accord qu'on peut se demander si c'est tout le temps bien légitime mais pas exemple en entreprise c'est acceptable si clairement communiqué) afin par exemple de faire de la détection de virus.

Les version récentes de Squid (à partir de la 3.5 je crois) permettent de configurer des exceptions pour justement ne pas intercepter certains flux.

Donc oui WPAD et SSL-Bump font bon ménage  8)

:o
_EDIT: si je réponds un truc complètement à coté de la plaque, ça ne va pas le faire  ;D (je rédigeais une réponse à une question OpenVPN en parallèle).
Alzheimer me guette  :-[[/i]

https://www.pfsense.org/hardware/

Je crois bien que Juve a fait il y a quelques temps une description de configuration avec un nombre significatif de VLAN_

Je ne comprend pas non plus la question. Qu'entedez vous par "gérer un réseau" ?
Comme indiqué précédemment Pfsense est un tout autonome : OS + firewall. Donc pas d'installation possible sous Windows ni sous quoique ce soit d'autre. Dans un hypervisieur (VM) c'est possible, mais pas raisonnable en dehors de tests, sous réserve de maitriser les complications réseau qui en résultent.
Pfsense est d'abord et avant un firewall. Il traite des problématique de filtrage réseau principale au niveau des couches 3 et 4 du modèle OSI. J'ignore si cela vous parle.
Comme toujours serait plus simple que vous exposiez vos besoins fonctionnels pour commencer plutôt qu'en terme de solutions techniques a priori avec un produit dont je ne suis pas certain que vous ayez correctement perçu les fonctionnalités.

@yatar:

Pour l'instant je n'ai rien en place, et je voulais faire tout avec pfsense mais cela semble complexe.

TOUT faire avec pfSense non car il te faut au moins un serveur Kerberos qui ne sera pas pfSense.
Sur la base de ce que tu décris, j'imagine que tu as déjà soit un serveur Kerberos soit plutôt, comme tu fais référence à AD, un domaine Windows.
Le point qui en découle, c'est qu'un domaine Windows est généralement associé à un nombre significatif d'utilisateurs, ce qui, pour en revenir à notre sujet initial, veut dire un dimensionnement du proxy HTTP en conséquence.

Du coup, faire tourner le proxy sur pfSense veut dire dimensionner celui-ci pour supporter le proxy.
En plus un proxy séparé est plus souple en terme de configuration parce que tu n'es pas limité à ce que permet le package.
Pour une configuration "basique" ce n'est pas un point important mais dans ton cas, c'est probablement une bonne idée de garder ce point à l'esprit.

Ce log est celui de l'installation et j'ai essayé de le démarrer manuellement au nivau des services (c'est pour cela qu'il y a 2 fois la même erreur). La toute première fois j'ai essayer de configurer MySQL, j'ai eu le même message d'erreur. Suite à vos conseils, j'ai repris l'installation sans toucher quoique se soit, toujours pareil

@Salamafet:

Le but c'est de n'avoir rien à faire sur les périphériques client.
Je vais regarder WPAD.

Je te suggère de ne pas te précipiter  8)
En effet, dans WPAD, ce qui est important, c'est le A (pour Auto): WPAD ne sert qu'à automatiser la configuration du proxy sur les navigateurs clients.
C'est bien ce que tu recherches mais garde à l'esprit que cette automatisation n'a de sens que si tout le reste fonctionne.

La bonne démarche consiste donc à configurer le proxy et générer un proxy.pac pour s'assurer que le fonctionnement obtenu est bien celui auquel tu t'attends.
Le point clé du design, ce n'est pas WPAD mais proxy.pac

Une fois que tout fonctionne, il suffit de configurer WPAD au niveau DHCP et DNS pour pousser proxy.pac mais c'est accessoire  ;)

Salut,

Avec le DNS Forwarder/Resolver qui renvoie vers l'IP de la VM et des règles NAT qui utilisent un port de destination différent c'est très simple, ou alors je ne saisis pas la demande …

Ports qui seront utilisés pour accéder a la VM depuis l’extérieur :
VMsousdomaine.domaine.com  Port : 8000 redirigé sur 80
VM2sousdomaine.domaine.com Port : 8001 redirigé sur 80
VM3sousdomaine.domaine.com Port : 8002 redirigé sur 80
VM4sousdomaine.domaine.com Port : 8003 redirigé sur 80

VMsousdomaine.domaine.com  Port : 8010 redirigé sur 443
VM2sousdomaine.domaine.com Port : 8011 redirigé sur 443
VM3sousdomaine.domaine.com Port : 8012 redirigé sur 443
VM4sousdomaine.domaine.com Port : 8013 redirigé sur 443

DNS Forwarder, creer :
VMsousdomaine.domaine.com 192.168.0.10
VM2sousdomaine.domaine.com 192.168.0.11
VM3sousdomaine.domaine.com 192.168.0.12
VM4sousdomaine.domaine.com 192.168.0.13

NAT, regle :

WAN TCP WAN Address 8000 8000 192.168.0.10 HTTP
WAN TCP WAN Address 8010 8010 192.168.0.10 HTTPS
WAN TCP WAN Address 8000 8001 192.168.0.11 HTTP
WAN TCP WAN Address 8010 8011 192.168.0.11 HTTPS
WAN TCP WAN Address 8000 8002 192.168.0.12 HTTP
WAN TCP WAN Address 8010 8012 192.168.0.12 HTTPS
WAN TCP WAN Address 8000 8003 192.168.0.13 HTTP
WAN TCP WAN Address 8010 8013 192.168.0.13 HTTPS

Avoir un pointage CNAME pour les domaines qui pointent evrs l'adresse IP WAN du PfSense :
VMsousdomaine.domaine.com  CNAME IP_PUBLIC_PfSense
VM2sousdomaine.domaine.com  CNAME IP_PUBLIC_PfSense
VM3sousdomaine.domaine.com  CNAME IP_PUBLIC_PfSense
VM4sousdomaine.domaine.com  CNAME IP_PUBLIC_PfSense

Et l’accès des VM se fera comme suit :

http://VMsousdomaine.domaine.com:8000
https://VMsousdomaine.domaine.com:8001

http://VM2sousdomaine.domaine.com:8001
https://VM2sousdomaine.domaine.com:8011

http://VM3sousdomaine.domaine.com:8002
https://VM3sousdomaine.domaine.com:8012

http://VM4sousdomaine.domaine.com:8003
https://VM4sousdomaine.domaine.com:8013

Les ports que j'ai mis sont a changé en fonction de ses besoins et en évitant les collisions avec d'autres logiciels bien-sur !

En espérant que ça aide !

Bien amicalement,
Alex.

@jdh:

Que se passe-t-il avec un pc windows classique connecté à ce boitier 4g ? quel débit ? quel mtu testé ?

@esgbu44:

J'ai d'abord testé mon routeur 4G (Routeur <-> PC ), j'obtiens un débit de 70Mb descendant / 20 Mb montant.

C'est vrai, comme le fait remarquer Juve que ça peut venir des interface, le support par FreeBSD des cartes réseau étant (était) parfois problématique mais j'ai quand même l’impression qu'il y a eu beaucoup de progrès de ce coté là.
ça fait très longtemps que je n'ai pas rencontré une carte pas ou mal supportée, même chez Realtek.

J'ai exposé les vouchers qui sont une technique simple, facile et aisé à mettre en place (après la phase essentielle de compréhension).
Cela fonctionne très bien dans des campings et hôtels : il suffit juste d'imprimer des pages de vouchers puis les distribuer ensuite.

Je reviens sur ce que j'ai écrit

2- Notion de Users : "If authentication is used, this can be performed using pfSense's built-in user management, or an external authentication server such as a RADIUS server."
3- Nécessairement il faut ajouter des users : ce n'est pas automatique ! ce n'est pas simple !

La phase est particulièrement claire : quand on veut authentifier

soit on utilise la base utilisateur pfSense soit on utilise une 'authentification externe' telle un serveur Radius.

Il est clair que l'on utilise pas (jamais ?) les utilisateurs pfSense !
Donc il faut comprendre que le portail captif pfSense sait s'interfacer, nativement, avec un 'service Radius' (soit le package soit un Radius externe).

Donc il faut s'intéresser à Radius.
En premier on lit Wikipedia (forcément) https://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service
Et on comprend que Radius est un intermédiaire

qui normalise le transport de données d'authentification, et qui accède (si nécessaire) à une base externe.

Le problème devient alors

mise à jour d'une base externe, par personne autorisée (nettement préférable).

Et là on a le choix des solutions …

Salut salut

Au vu du peu d'information je vous redirige sur ce poste https://forum.pfsense.org/index.php?topic=79600.0 qui permettra de vous structurer
A première vu aussi cela vient de votre méconnaissance de votre virtualiseur et de son fonctionnement, réglez ce point là avant toutes choses.

Un exposé claire avec des informations claires donne une réponse rapide.

Cordialement.

Merci Juve de ce lien que je connaissais pas.

Microsoft fournit une somme de lien sur WPAD (et c'est bien puisque c'est un standard).
Exemple : https://technet.microsoft.com/library/Dd361950
Toutefois, par défaut, un serveur DNS Microsoft (>=2008) ne répond pas à wpad.xxx : il faut regarder la 'globalquerylist' …

WPAD souffre de défauts inhérents :

risque de création de faux 'serveurs' WPAD : d'où réglage prudent des DNS Windows génération de requêtes DNS multiples et préalables lors de l'accès http à un site : petite latence (très faible).

Il est donc prudent de bien veiller à

mettre en place WPAD sur chacun de vos sites en relation avec les DNS et DHCP locaux utiliser un DNS avec cache pour limiter la latence apportée par WPAD.

Autoprox.exe peut être vu comme

outil automatique de récupération de script WPAD (option -s) outil d'exécution de script WPAD (standard ou détaillé avec option -h)
Cette option -h est intéressante : on voit l'exécution 'en mode debug' du script WPAD, ce qui permet de vérifier si notre script fonctionne correctement ou non.
Je plussoie.

Il sera probablement plus efficace …

Enfin !!

Oui, avant de penser à une solution (quota), il est nécessaire d'analyser la situation !

Comme je l'ai écrit, il faut D'ABORD :

analyser l'utilisation de la bande passante : ntop est LE package à ajouter sur pfSense, et après quelques jours, devrait se dessiner l'utilisation de la bande passante si HTTP/HTTPS (la navigation) est majoritaire, il faut analyser ce flux : savoir qui fait quoi; d'où mise en place d'un proxy et analyse des logs

Ensuite, et seulement ensuite, il conviendra de choisir une méthode

blacklist de sites : radio, … méthode QOS (basé sur Squid et les Pool) méthode Quota

Ne négligez pas la force de l'autorité : 'tu arrêtes d'aller sur tel et tel site au boulot' avec l'index levé et l'oeil noir, n'est pas si mal ...

Pas la peine de penser avant quelques jours (1 ou 2 semaine) : vous ne savez pas quelle est la situation !

@onegame:

-Finalement que me conseillez vous au niveau du proxy? que je décoche le faite qu'il soit transparent ou je le laisse transparent?

Je te conseille surtout d'éviter de poser la même question dans 2 fils différents car c'est très difficile à suivre  ;D
et donc je t'ai répondu dans l'autre fil.

-Mon poste relatif au quota, je demandais car pas mal d'ami m'ont demander si PFSENSE pouvais définir les quota par utilisateur dans le réseau.
Certaines solutions hotspot tel que TrueCafé(si je ne me trompe) permettent de definir un quota par utilisateur.
C'etait pour verifier la faisabilité avec PfSENSE

Il suffit alors de poser la question de cette manière là, n'est-ce pas  ;)

Si tu fais des recherches dans ce sens, tu trouveras soit des considérations sur le fait que ces fonctionnalités seraient à intégrer au portail captif ChiliSpot (via un serveur Radius), soit, sur des réponses récentes… que c'est un aspect Radius.
Même si ça ne plaît pas à jdh et que ça fait ds dégâts, il n'y a pas beaucoup de choix, c'est le troisième "A" (du AAA) de Radius qui aujourd'hui supporte cette fonctionnalité.

Finalement, tu peux lire cette page.

Pardon, excusez moi, l'habitude de devoir s'exprimer en anglais… alors que je suis plus à l'aise en français.

Merci pour ce lien

@jdh:

'si le demandeur rempli le formulaire de manière intelligente, je ne lui en fait certainement pas le reproche'
C'est pervers, parce que on se demande pourquoi blâmer, mais c'est un raisonnement très pervers que de dire, je suis opposé, alors j'engueule, et moi je n'engueule pas !

::)
Ce n'est pas mon propos.
Si le formulaire est présent et contient des infos utiles, je ne vais pas faire de commentaire particulier. Et il n'y a rien de pervers, de mon point de vue.
Bien sûr, je n'écris jamais "ah ! bravo, vous avez rempli le formulaire …"
Mais je n'écris non plus jamais "je ne vous réponds pas parce qu'il n'y a pas de formulaire"

Je m'en moque complètement, ce qui m'importe, c'est que les info nécessaires soient présentes.

Si dès fois tu arrives à saisir la nuance  :-X

Votre attitude permanente de refus de l'idée (plus profond que le formulaire !), et de sa critique délibérée et permanente (encore ici), est un problème sérieux du forum, ne vous en déplaise.
Ce qui peut passer pour une gaminerie, n'est plus acceptable, passé 1250 posts …

Ce n'est pas moi qui ramène à chaque fois la discussion sur ce sujet qui te tient tant à cœur, si tu prends la peine de reprendre ce fil et les nombreux précédent.
Je n'en parle jamais sauf pour répondre aux points que tu soulèves.

Je regrette, d'ailleurs, que les modérateurs ne prennent pas conscience de la répétition totalement inutile, que je suis obligé de faire à chaque fois !

En attendant que tu sois promu modérateur, il y a un bouton sur la droite qui te permet de signaler au modérateur tout comportement, sur ce forum, que tu trouves anormal (ce qui est ta prérogative).
N'hésite pas à l'utiliser, à chacun de mes messages si tu le souhaites.

Bonjour a tous,

J'ai exactement les mêmes problèmes, tout fonctionne sauf le Webgui et openVPN,

J'ai remarqué que si je lance les commande 11 puis 16 via la console tout repart … mais j'ai en gros un plantage tous les 6-7 jours ...

11 - Restat webConfigurator
16 -  Restart PHP-FPM

je l'avais tester sur une autre machine mais sans être en prod réellement, car les clients VPN ne se connectaient pas.

Ma seconde machine est passer en 2.3.1_5 je n'ai pas de plantage depuis 10 jours, je vais la passer en prod.

wait & see

Aki

Bonjour,

Comment tu teste le LB pour dire que cela fonctionne ? Perso je vais sur un site genre monip.com et j'actualise pleins de fois la pages, si l'ip retournée par le site change régulièrement lors des actualisations on peut dire que cela fonctionne :)

Pour un site ou j'ai un ''gros'' pf physique qui fait tourner squid/squidguard pour 200 users, j'ai mis devant le ''gros'' pf qui n'a qu'un wan, un ''petit'' pf sur boitier type appliance qui gère seulement les box fai et le LB & FO

Cdt

Bonjour,

load ballancing pour Http & Ftp = OK
load ballancing pour Https = NON (même avec sticky), pour https il faut le mettre sur un pool de gw en FO et pas en LB

Si tu a bcp de postes clients tu peut ''couper'' la plage d'ip locale en 2 et faire 2 règles differentes en jouant sur la sources et en ayant 2 pool FO (1 avec gw1 en tiers1 et gw2 en tiers2 et l'autre avec gw2 en tiers1 et gw1 en tiers2)

Cdt

Des plateformes comme le APU2C4 devrait répondre également à ton besoin. fanless, quelques watts…
Le seul point, mais qui mérite très probablement réflexion quand à son coté indispensable, c'est de disposer d'un vrai gigabit (effectif) en DMZ  ;D