Waou
Tout d'abord quand je parle d'externe cela veut dire que ce n'est pas sur la machine de Pfsense cela me semblait logique.
Bien sur que notre proxy est est en dmz, le placement du réseau que va gérer Pfsense ne dépend pas de moi et cela ne représentera qu'une infime partie du réseau totale dont je ne connais pas l'entièreté, je travail suivant des contraintes. Le réseau est protégé et utilisé par un nombre important d'agent et est géré par une équipe d'ingénieurs qualifiés je pense qu'ils savent ce qu'ils font et mêmes si le font mal je n'ai pas le choix et doit faire de mon mieux pour y intégrer ma solution.
Pour l'authentification vous comprenez de travers mais après relecture ma phrase mérite en effet éclaircicement :
Je disais cela car notre proxy demande habituellement une authentification et un profil classique pouvait donc être réalisé si j'utilisais squid qui propose une option upstream proxy avec un identifiant/mot de passe, la solution avec le nat ne permet pas cela et une règle spéciale doit être définie dans notre proxy pour ne pas demander d'authentification pour les adresse IP de mon réseau. Pour faire de l'identification sur le proxy il nous faudrait faire des modifications sur les postes clients ce qui ne peut pas être fait pour nous car les utilisateurs seront des usagers externes dont nous ne maîtrisons pas le matériel.
Par contre la présence de l'adresse IP est indispensable pour faire le recoupement avec les logs de connexion du portail captif mis en place pour pouvoir dire qui a fait quoi et à quel moment comme le nécessite la législation.
Si vous n'aviez pas compris l'architecture décrite dans le premier post qui était primitive et uniquement vraie pour les premiers tests a été dépassée et était aussi fausse au vu des changements opérés dans notre cahier des charges, cela ne me semblait pas important à préciser au vu des questions qui sont plutôt indépendantes de l'architecture.
Mais j'aurais aimé savoir comment vous voyez idéalement l'enregistrement des logs de consultation des usagers vu que j'utilise Pfsense comme portail captif. La présence d'un proxy est surement indispensable maintenant comment le liez-vous à Pfsense sachant qu'il peut être en coupure mais pas directement relié à internet sur sa patte WAN (je ne suis pas le seul sur cet accès) , notre proxy est sécurisé et disponible sur la patte WAN.
Cela m'aidera peut-être à mieux intégrer Pfsense dans mon réseau.
Merci d'avance.