Quelques question en plus de celle qui précède qui est importante mais en principe en https le proxy (si proxy) n'intervient pas.
Le navigateur utilisé est le même sur la même machine ?
C'est TLS v1 qui est utilisé ? On ne devrait utiliser que la version 1.2 sur le plan sécurité.
Il possible que le navigateur ne puisse pas vérifier la chaine de confiance du certificat.
Vous pouvez tester l'état de votre site d'un point de vue ssl avec https://www.ssllabs.com/ssltest/

Je pense que tu as lu trop vite

Non j'ai bien lu … les infos fournies, et je corrige mes informations :
pfSense dispose de Perl (testé avec which perl -> /usr/bin/perl puis perl -v) !

Ici on voit une 'astuce' pour Squid/SquidGuard qui exige Perl. Perl est-il partie de pfSense ? Sans doute non !

Que je remplace par

Ici on voit un correctif possible à une astuce SquidGuard/Squid.

Cela ne change guère mon point de vue sur les packages (au contraire) : vous pouvez suggérer votre correctif au mainteneur du package.

Le formulaire aurait permis aux lecteurs de comprendre, dès le début, que votre problématique était dans un contexte "Home".
On peut alors comprendre que vous essayez de réduire le nombre de machines … dans VOTRE contexte.

Mais, dans un contexte pro, une machine dédiée au proxy (souvent virtualisée) pourra être customisée pour répondre à ce type de problématique ... sans aucun impact sur l'efficacité du firewall.

NB : bravo pour votre test avec 'echo ".... GET" | squidguard' : c'est le test qu'il faut faire pour valider votre config squidguard  (et que je fais quand je créé un proxy dédié). Vous avez cherché !

La population du forum ne se divisent pas en 2 seules catégories :

les professionnels qui sont vite "gonflés" par les débutants, les débutants qui se retrouvent copieusement rembarrés.

C'est un peu plus compliqué :

les pros qui sont indifférents, les pros qui se lassent vite (de l'absence du formulaire et … des remontrances de la catégorie 5 ...), les débutants qui acceptent de remplir le formulaire, les débutants qui rechignent à remplir le formulaire mais qui finissent par le faire, les débutants qui refusent de remplir le formulaire et qui maltraitent celui qui a le malheur de demander le formulaire.
(Je suis nettement dans la catégorie 2.)

Parmi les débutants, les 3 et 4 peuvent poser des questions intéressantes et nouvelles.

La catégorie 5 est celle des 'assistés'.
(Elle a gagné, pour le cas du forum Ixus, ... par ippon !)

Je ne vois pas au nom de quoi, on les laisserait agir de la sorte ... car, dans les faits, les pros 2 puis 1 finissent par ne plus être présents ... (à force d'être las !)
(Ils peuvent être rembarrés et, généralement, ne comprennent même pas ... comme dans la vraie vie !)

Il me parait plutôt souhaitable d'ajouter un post (au ton 'ferme') au fil 'A LIRE EN PREMIER: Charte à respecter pour la demande d'aide.'
Ce post devrait indiquer

l'utilisation du formulaire est FORTEMENT conseillé l'utilisation du formulaire est LE moyen d'accélérer les réponses l'utilisation du formulaire est un signe d'efficacité et de respect des lecteurs (il n'y a pas de forum si c'est le bazar !) la non-utilisation du formulaire est MAL VUE par certains la non-utilisation du formulaire entraine que certains ne répondent plus (bien qu'ils aient la réponse !) la gratuité des réponses et du temps passé par des pros n'est pas compatible avec l'irrespect.
...
et sûrement beaucoup d'autres conseils du même type comme sur les fils sans question, les délais de réponses ...

Pour ce qui me concerne, je suis parmi ceux indiqué en 4 et 5. Mais vous l'avez compris ...

Salut salut

@baalserv

d’où le fait que je n'ai pas insisté.

@hitgsnoop

J'en suis fort aise que vous ayez trouver la solution et surtout le retour que vous en faites.

Cordialement.

Bonjour,

Quand sur ce forum d'entraide, qui plus est d'un produit libre/open source je lis : C'est urgent , je n'ai qu'une réponsse, celle-ci : https://portal.pfsense.org/support-subscription.php

Contribuer donc à la péréniter de cet outils merveilleux qui hors matériels ne vous à pas couter 1 centime, surtout avec la mauvaise volonté flagrante que vous montrez à vous faire aider. ^^

Cdt

Ok, merci pour la réponse.

Si ce n'est que ça, ce n'est pas gênant… Crosoft veux toujours en faire trop, c'est comme ça qu'il y a des bugs...

Salut,
ça ne me choque pas plus que ça, c'est le débit moyen en upload que j'ai sur les différents sites.
Sur ce site je suis à 1200m du DSLAM.
12mega en download, 0,60 en upload, ça me parait raisonnable.

Possibilité d'avoir du SDSL… mais 600€ mensuel  :o

:-[

Parce qu'il faut probablement lire la doc pfSense un peu plus dans le détail pour appliquer le bon paramètre.
Il y a beaucoup de paramètres qui s'appliquent aussi bien coté serveur que coté client.

ping-exit est peut-être un peu brutal  ;D

regarde du coté du paramètre "keepalive" qui a un comportement différent selon qu'il est appliqué coté serveur ou client.
0 voir également car potentiellement lié à lin-exit des paramètres comme:
–inactive
--ping-restart

Je vais faire des tests de mon coté, car même si je ne suis pas directement concerné par ce problème, c'est intéressant.

@Narcomed:

Bonjour,

Je ne sais pas si cela est relié mais j'avais une vielle version aussi une 2.X.X. et elle était également en 32 bits et c’était tout Pfsense qui plantait a cause de SQUID.  J'ai fais une sauvegarde de configuration et j'ai fais par la suite une réinstallation avec une version en 64 bits et ça avait régler les problemes.  Si le hardware le permet je conseil de toujours faire les installations en 64 bits.

En fait c'est la prochaine étape, si je n'arrive pas à régler ce souci. A noter que Pfsense est installé dans une VM KVM.

<mode incruste="">J'étais présent comme JDH & CCnet sur l'exélent forum IXUX dont nous parle JDH dans un précédent post. (Forum tjr dispo en lecture seule : ixus.net)</mode>

salut,

je suis tombé cet été (pas avant puisque ce n’était pas mon monde) sur plusieurs fils d'ixus.net, et j'ai effectivement remarqué plusieurs intervenants que je vois ici. des intervention de qualités déjà à l'époque. la seule différence est qu'en 2008/2009, jdh etait moins ronchon !

J'ai(me) bien ton approche naturelle et la touche d'humour ; ton intérret didactique dans ce post en fait (pour moi) son intréret général, c'est pourquoi j'aimerai revenir sur un point qui me chagrine, à savoir : tes questions ! ^^

Il est (pour moi) très pertinant d'avoir sur un forum des questions digne d'intéret MAIS également leur réponsses  ;)

Intégrer dans tes précédents post les questions que tu t'est poser et leur réponsses ne donnerons que plus de valeur valeur à ton fil  :D

dans un premier temps, je te remercie… si si ! ca fait toujours plaisir, et c'est toujours mieux que de se faire envoyer bouler au premier post.

tu as tout à fait raison, mais comme tu l'as remarqué, je n'ai pas encore commencé l'install. donc pour le moment, ce n'était que des réflexions à moi-même. je vais donc reprendre les prochains posts et effectivement y intégrer les questions que je me suis posé de façon claire.

pour le moment, mes réflexions ont porté principalement sur le matériel, ma config existante et la façon de mettre pfsense en prod de façon progressive (dès que je serais persuadé que c'est l’outil qu'il me faut) sans m’empêcher de bosser au quotidien.

encore merci pour tes encouragements et bonne soiree.

Je me souviens d'un de mes patrons qui me disait "tu délègues quand tu maîtrises" (parce que si le "délégué" lâche, tu es capable de reprendre).
Mais il y a le cas où tu ne maîtrises pas.

Il y a donc 2 sortes de clients :

celui qui a une bonne compétence, celui qui n'est pas assez compétent (qui croit l'avoir).
Le premier refusera de faire un MITM, le second n'en aura pas même conscience.
Il est clair que les fabricants d'UTM visent les seconds … qui sont les plus nombreux.

Comme clients, je ne souhaite pas être mené en bateau. (Suis-je a-normal ?)
L'avant-vente qui viendrait me parler de son formidable UTM qui fait tout, aurait forcément la question du MITM. Et là il sait ou pas.
Néanmoins, je verrais d'un bon oeil un prestataire me proposant 2 solutions et m'expliquant que la 2ième, plus chère, est plus respectueuse ...

Il y a contradiction entre 'Marketing' et 'Sécurité' ...

(Dans la pratique, je n'ai besoin de personne pour faire les firewall des entreprises où je passe depuis 15 ans. Mais il m'est arrivé d'utiliser des petits boitiers type Zyxell, ou des moyens comme WatchGuard, ...)
(Dans l'une, j'ai commencé par annuler le contrat de support d'un checkpoint à 4000€/an dans une pme industrielle de 300 pers sur 2 sites : fallait pas pousser ...)

(Si un avant-vente parle de choses qu'il ne connait pas à fond, tant pis pour lui ...)

Niquel ça marche parfaitement maintenant, c'était bien le nat.
merci à vous les gars.

J'ouvre un nouveau sujet pour un nouveau pb.

Bonjour bastion,

Je viens d'essayer cela ne fonctionne pas pour moi.
Même problème.

Salut,

Je suis le modérateur du forum.

Ce post est un peu un gloubiboulga indigeste… 
Je passe !

(Il est important d'utiliser le formulaire : cela aide le lecteur et, au final, vous avez de meilleures réponses.)

Mon expérience en terme de CARP remonte à pfSense 1.3, je présume que le concept demeure.

Un cluster, c'est 2 machines et un lien (interface) de synchro entre elles.
L'une est master (active), l'autre slave (inactive).
Chacune a sa propre adresse ip sur chaque interface, mais la machine master a, en plus, les adresses ip virtuelles qu'il faut utiliser (ou du cluster).
La bascule consiste transférer les adresses ip virtuelles (quand le master tombe).
Il est à comprendre que l'on accède, bien sur, qu'aux ip virtuelles ensuite (quelle que soit l'interface) !

Pour les interfaces internes (à adressage privé), pas de difficulté : 192.168.1.11 ip lan de fw1, 1.12 ip lan de fw2, et .10 ip lan virtuelle du cluster.
Pour une interface wan à adressage public, c'est plus compliqué.
Si on possède une range d'adresses ip suffisante, on y arrive :
exemple : réseau 128.128.128.160/29 donne 8 adresses dont 6 utiles :
128.128.128.160 = réseau (inutilisable)
128.128.128.161 = routeur FAI
128.128.128.162 = dispo
128.128.128.163 = dispo
128.128.128.164 = ip WAN (reelle) fw2
128.128.128.165 = ip WAN (reelle) fw1
128.128.128.166 = ip (virtuelle) cluster
128.128.128.167 = broadcast (inutilisable)
Si on ne possède pas une range suffisante, on triche en agrandissant et … en priant pour ne jamais être en contact :
exemple : réseau 128.128.128.160/30 donne 4 adresses dont 2 utiles :
128.128.128.160 = réseau (inutilisable)
128.128.128.161 = routeur FAI
128.128.128.162 = ip (virtuelle) cluster
128.128.128.163 = broadcast (inutilisable)
On configure tous les wan en /29 avec les ip réelles de fw1 et fw2 en .165 et .166.
La conséquence sera le fonctionnement ok mais l'impossibilité de causer avec les vraies .164-.167 !

Ne pas oublier de faire attention au NAT OUTBOND qui doit être en manuel avec ip virtuelle du cluster !

A adapter si en plus failover ... (double wan)

Attention, je retirerai le dhcp qui me semble peu aisé à basculer

Salut,

Désolé si je me suis mal exprimer… en espérant être plus clair avec ceci ....

Contexte : Nouvelle configuration dans un environnement en production
Besoin : Avoir un site principale avec deux lien internet et deux PFSENSE qui se connecte à 4 site distant
WAN : Deux fournisseur internet
LAN :  un réseau en DHCP la production
DMZ : un réseau DHCP pour les expérimentations
Régles NAT et firewall : redirection de port de WAN à LAN pour enregistreur de caméra et serveur Web
Packages ajoutés : aucun
Autres Fonctions assignés au Pfsense : OPENVPN

schema.png
schema.png_thumb

Oui c'était en terme de sizing hardware.
Bon ben merci pour l'info, le squid ne log que les http / https ou je me trompe?

Voyez : vous ajoutez maintenant des infos qui peuvent faire changer les réponses !
Si vous saviez le temps gagné pour tout le monde si, dès le départ, le problème était bien exposé …

Il est très clair que, pour FTP, il est essentiel de comprendre qu'il y a 2 modes de fonctionnement, et qu'il y a un choix à faire.
(Le bon site : wikipedia forcément).

La doc pfSense est, elle aussi, très claire (si lue plusieurs fois).

Vous avez fait un choix, le mode actif. Bien.

Cobian Backup sait gérer : http://www.astucesinternet.com/modules/smartsection/item.php?itemid=81 Etape 2-C  (1er lien trouvé avec 'cobian backup ftp mode'). (Je croyais Cobian Backup mort ?)

Robocopy n'a jamais fait de ftp, à ma connaissance.

Je crois que rsync n'est pas à ignorer pour faire des backup.

Clairement ce fil est loin d'être parfait :

présentation mauvaise et insuffisante connaissances insuffisantes de protocoles

J'espère que vous ferez un beau post de conclusion :

rappelant la problématique indiquant les éléments mis en place avec les choix de mode, les paramètres le fonctionnement obtenu

@gilgil:

Est-ce que le portail captif intercepte sur le 3128 ?

De toute évidence non  :-\

A mon avis, le proxy installé, comme je le propose, avec iptables sur une machine entre ton routeur externe et pfSense ne risque pas grand chose car il n'expose basiquement qu'un service (à condition de faire un peu de hardening) et iptables fourni un bon moyen de limiter les accès aux IPs issues du LAN.

Malgré ta limitation qui est de ne pas pouvoir créer de DMZ, il y a peut-être d'autres implémentations possibles avec par exemple des VLAN mais est-ce bien souhaitable ?

Une des difficultés dans ton design, c'est qu'il faut que ce soit l'utilisateur (en fait son IP ou MAC) qui passe par l'interface contrôlée par le portail captif pour accéder au web. Si le proxy est à l'intérieur, ça ne fonctionne pas car en mode explicite, c'est le proxy qui fait la requête.

Techniquement, une des solutions consisterait à mettre un proxy en mode transparent + MITM (pour HTTPS) en série avec pfSense mais c'est juste horrible et je ne suggèrerait jamais ce genre de chose  :o :o :o même si ça marche  >:(

Une autre approche, à tester et à mettre en œuvre si, comme on l'évoquait au début de ce fil, uniquement si tu es à l'aise avec la surcharge générée par la duplication de la charge réseau sur m'interface LAN de pfSense consisterait à:

1 - créer une deuxième IP dans un autre plan d'adressage (par exemple 192.168.4.0/24) sur l'interface LAN. Je pense que ce n'est toujours pas possible via l'interface graphique mais c'est documenté ici  8)
2 - tu installes et configures ton proxy à une adresse sur ce subnet et change ton DNS ou ton proxy.pac en conséquence.
3 - tu crées une exception sur le portail captif pour autoriser cette adresse IP sans authentification. Dans ma compréhension, un fonctionnement "par zone" du portail n'est ici pas possible car la notion de zone est associée à celle d'interface. Possible avec du VLAN mais pas avec une autre IP

Avec ce design, les utilisateurs passent par le portail captif pour accéder au proxy puisque pfSense est leur gateway et ton proxy est "à l'intérieur" ;-) au prix d'une charge supplémentaire sur l'interface LAN (mais cette charge devrait être faible car limitée par le débit du WAN).

4 - reste que l'accès au proxy ne déclenchera pas de redirection vers le portail captif car fait sur le port 3218 (le proxy sur le port 80 est une solution, mais je ne suis pas certain qu'il n'y ait pas d'effets de bord. Je n'y ai pas trop réfléchi à ce stade.  Avec ce nouveau design, si tu mets le proxy.pad sur la machine qui héberge le proxy, l'utilisateur va être intercepté par le portail captif pour accéder au proxy.pac et donc déclencher une règle de la part du portail captif, ce qui va libérer l'accès au port 3128. Effet de bord: à expiration du voucher, l'accès au port 3128 va expirer mais le navigateur risque de ne pas recharger le proxy.pac donc demander à nouveau une authentification au niveau du portail.

mais je n'ai pas beaucoup plus d'idées que ça compte tenu des tes limitations hardware.

Le prix du câble devrait s'amortir sur le nombre d'appliance …
Merci de l'info du nouveau fonctionnement : il est probable que les concepteurs ont préféré ce mode à une install déjà pré-définie.

Merci de mettre [Resolu] dans le titre …