Le débat 'Squid sur firewall' est récurrent.

Forcément, les arguments s'évaluent en fonction de SES propres critères.

Néanmoins les restrictions à Squid sont assez claires :

package : aucune garantie, limité aux fonctionnalités incluses charge : impact sur le fonctionnement, sur le besoin mémoire.

Face à cela, le proxy dédié offre des avantages nets et clairs :

aucun impact particulier sur firewall fonctionnement tel qu'on le souhaite gestion complète et affinée du filtrage, des logs, … capacité à respecter la loi de janvier 2006 !

Il est clair que cela exige plus de compétence pour créer un proxy dédié et qu'on ne bénéficie pas de l'interface, mais on fait exactement ce qu'on veut (et sans impact sur le firewall).

Bref c'est à recommander dès qu'il y a un trafic qui commence à devenir important : disons un ligne fibre et 15 utilisateurs ...

Comme souvent, il y a la réponse en 2', puis la réflexion sur la bonne méthode, le bon schéma, ...

Pour revenir au sujet, j'ai répondu, non sur la question qui demandait juste 2' de recherche, mais sur l'esprit, le fond.
Comment allez vous gérer les milliers de lignes de Squid dans syslog ?

@jdh:

Dans la doc de base https://doc.pfsense.org/index.php/Captive_Portal on lit

The Captive Portal function in pfSense allows securing a network by requiring a username and password (or only a click through), entered on a portal page.

If authentication is used, this can be performed using pfSense's built-in user management, or an external authentication server such as a RADIUS server.

The best source of captive portal information can be found in the pfSense book.

Captive Portal is configured from Services > Captive Portal.

Le stockage des données utilisateurs est (forcément) réalisé par le serveur RADIUS (external).

NB : cela n'a rien à voir avec les 'utilisateurs' pfsense !

:-\

Dans l'extrait de doc que tu mets en avant, et c'est parfaitement clair dans l'interface du portail captif également, il est spécifié que tu peux, au choix :

t'appuyer sur la base de comptes créés dans pfSense utiliser un serveur Radius

Après, ce qui est un peu plus tordu, et c'est, si je comprends bien, justement la demande de Manu2607  ::) , c'est de vouloir utiliser un serveur Radius (externe donc) qui s’appuierait sur la base de comptes pfSense.

Bonjour,

Merci à tous de vos conseils! J'ai changer le port en 443 TCP et depuis tout fonctionne :)
En revanche le Nmap ne me remonte pas le port ouvert ce qui est étrange tout de même ?
Je ne sais pas comment se comporte la règle crée automatiquement par OpenVPN sur le firewall donc peut être qu'elle "n'ouvre" pas le port en temps que tel (IPv4 UDP * * WAN address 443 (HTTPS) * none   OpenVPN OPEN_VPN_NE wizard )
En tout cas je vous remercie tous de vos conseils constructifs!

Bonsoir,

Je m'excuse de ne pas avoir pu revenir vers vous plus tôt mais Steven tu avais raison j'avais bel et bien un problème au niveau des règles de mon pfsense.

L'une de mes règles n'autorisais pas la communication vers mon autre site (j'ai honte).

En tout cas je vous remercie, ça marche niquel !

Dans ce contexte (milieu, charge induite, responsabilité, …), il n'y a pas d'hésitation à séparer les fonctions

un firewall (non virtualisé) (ou, mieux, 2 pour faire un cluster) une machine Snort, avec la config d'écoute  adapté sur le LAN. une machine proxy avec Squid/SquidGuard + gestion logs + gestion blacklist ...

Les 2 dernières machines peuvent être virtualisées.

@chris4916:

Je ne me souviens pas avoir vu le paramètre "keepalive" exposé dans l'interface d'admin de OpenVPN mais tu peux toujours essayer de le préciser dans les options de configuration. Je n'ai cependant pas fait de test pour voir si cette valeur personnalisée va remplacer la valeur par défaut.

je vais tester dans ce cas et je te redis quoi  ;)
merci

@lololo:

donc j'utilise Haproxy non pas pour faire du load balancing mais pour faire du reverse proxy (beaucoup plus léger que nginx). il me permet de pouvoir accéder à toutes les machines de mon réseau par leurs noms d’hôte et un port assigné (ex syno.mondomaine.com arrivera directement sur mon synology sur le port 5001)

Le problème est que depuis le lan cela ne fonctionne pas car apparemment c'est le dns forwarder qui prends le dessus.

Si tu veux pouvoir accéder à ton Synology à la fois depuis le LAN et depuis internet en utilisant la même config "client", il suffit que (toutes les assertions suivantes sont liées par un "ET") :

le DNS interne pointe le nom de ton serveur "syno" vers Synology  (pas de HAproxy ici) le DNS publique pointe le CNAME "syno.tondomaine" vers ton IP publique (sur laquelle écoute HAproxy) le port d'écoute du Synology est le même que le port d'écoute du HAproxy pour ce service

Depuis internet, tu accèdes au HAproxy qui fait le relai vers le service en interne
Depuis le LAN tu accèdes en direct su Synology

et ça marche  8)

Si les ports sont différents… ça ne marche pas sauf à avoir une config client différente selon que tu es sur le LAN ou sur internet. Et ce n'est pas un problème de HAproxy  :P

Merci d'utiliser le formulaire de présentation : par exemple, il est nécessaire de chercher avant de poser une question et d'indiquer le résultat des recherches …

Chris4916 présente une 'bonne réflexion'  (explications progressives correctes) :

il y a une mauvaise compréhension du terme 'portail captif' (surtout dans un contexte 'log de navigation') le proxy est certainement la bonne réponse fonctionnelle pfSense (firewall et non proxy) n'est certainement pas adapté compte tenu de la charge et des limites du/des package/s

Il faut vous orienter sur l'install d'un proxy Squid avec les questions :

l'authentification (obligatoire) : quel protocole, quelle source le filtrage de blacklist (obligatoire) : cf la blacklist de Toulouse le log, la visu des logs, le stockage des logs : obligation légale (loi de janvier 2006)

Il reste un rôle à un firewall : assurer que SEUL le proxy peut accéder à Internet.

(Voyez que je ne dis pas toujours du mal de Chris4916 ... quand il écrit des choses correctes).

merci beaucoup a tous!!
je me suis beaucoup enrichie à travers vos interventions.
J'aimerai pouvoir être aussi ingénieux que vous et pouvoir apporter souvent ma contribution mais malheureusement je suis novice dans pfSense et j'espère me perfectionner a travers mes recherches et avec votre soutien.

Là maintenant je vais m'attaquer au volet VPN (OpenVPN) avec des recherches d'abord et si après j'ai des difficultés je vous en ferai part!! ;)

Merci et que Dieu vous bénisse!!!
Cordialement

Soyons encore plus précis,

Le wiki de Squid est (nécessairement) la référence à regarder : http://wiki.squid-cache.org/ConfigExamples/#Authentication
La section 'Overview …' est indispensable !

On trouve donc une authentification

par Radius par Kerberos par NTLM (protocole tradi du monde Windows, dépassé par Kerberos) par LDAP (ActiveDire est un LDAP un peu spécifique)

Il est très clair que cela suppose que Squid ait été compilé avec les bonnes options de librairies et que les dites librairies soient présentes. (Sans compter le niveau de Squid nécessaire ...)

Dans le mode Windows, il me semble fréquent d'utiliser soit NTLM soit LDAP. (Mes souvenirs sont lointains ...). L'idéal devrait être Kerberos qui est aujourd'hui le protocole le plus sûr.
Et il faut savoir que les librairies nécessaires viennent parfois d'autre logiciels : ex NTLM suppose des lib de Samba ...

Bref Squid + une authentification sera bien plus possible ... hors de pfSense, car il n'y a aucune garantie que le (ou les) 'package' comportent et Squid et les librairies nécessaires.
(Sans compter, ce que méprend pas mal de gens, la charge machine et mémoire inhérente à un gros trafic et grand nombre d'utilisateurs ...)

Bref la question n'était pas tout à fait un besoin ni tout à fait une solution : 'authentification transparente' = besoin, 'authentification par Radius' = solution.

Il y a moins de 2 mois, j'ai dû créé (du vendredi pour le lundi) un serveur de File Transfert sécurisé.
J'ai choisi Debian 8 + ProFtpd qui fait et ftp et sftp : il restait juste à faire des utilisateurs virtuels (en base MySQL).
Hors utilisation d'un template VM, j'ai du y passer environ 2h 'à la cool - le samedi matin' :

l'aspect dns prend 10', l'aspect firewall prend aussi 10', l'install de MySQL + Apache2/Php+PhpMyAdmin prend 10', l'install de ProFTPd + config (en sftp uniquement) + création d'une BD MySQL + les tests ont pris ~1h20 test depuis l'extérieur 5' (c'est la même config côté client puisque le split dns fait le job !)
Il faudra que j'y revienne pour ajouter les logs dans MySQL …
Je verrai bien aussi un petit site web de création des comptes avec envoi de mails (vers le demandeur interne et le client externe) ...

Franchement, les utilisateurs ne voient aucune différence (vs FTP) : j'ai documenté avec le paramétrage de FileZilla Client et WinScp : 3 pages de doc (faites le lundi).
Et je considère qu'en tant que fournisseur du service, c'est à moi d'imposer la sécurité !

Au moins, je n'ai pas d'inquiétude sur la sécurité 'à l'intérieur du protocole'.
Et je n'ouvre pas de tunnels VPN juste pour ça.

Je suis presque certain que ce montage (Ipsec + nattage + serveur FTP) est moins sûr que le serveur SFTP : il y a trop de choses qui doivent être parfaitement ajustées ...

salut salut.

@desirek
Pourriez vous, vous conformer à la chose première ===> ouvrir votre propre poste pour votre soucis, sauf si cela est pour aider le premier requérant.
Pourriez vous, vous conformer ceci vous aussi https://forum.pfsense.org/index.php?topic=79600.0 à fin que nous puissions vous apporter une aide plus constructive.

@all
Nota ==> personnellement ce fil est considéré comme mort pour raison qu'une avancée d'information est été apporté.

Cordialement.

En effet ma "solution" est riche
cependant : Win XP + VM server supporte les deux interface eth (intégrée+USB)
Win XP est peu consommateur de ressources (SP3 + services inutiles désactivés = 100Mo ram @full charge, 640 avec VM server (Tomcat))

Pour un netbook en Atom 1.66GHz/2 Go Ram il rend le service demandé et c'est tout ce que je lui demande.
Couplé à une multiprise IP que je peux controler à distance, plus un onduleur partagé avec un portable en céléron @650 qui me sert de serveur web et au vu de la conso électrique/service rendu, je suis satisfait !

Nota important à l'attention de 'dgtech' :

Le ccnet de ce forum est le même que celui de, feu, le forum Ixus (d'Ipcop) !
C'est à dire qu'il dispense ses conseils (judicieux), apporte son expertise (grande) depuis de très nombreuses années sur ces 2 forums (et avec un grand respect des débutants).

Vous sollicitez des conseils (gratuits), et il vous répond (et forcément correctement).
Vous ne respectez pas le formulaire (que nous avions imposé sur Ixus).

Et vous le dénigrez !?

Quelle ingratitude !
Franchement, c'est à décourager les meilleures volontés ..

J'ose dire : qui êtes vous, pour vous autoriser cela ?

@chat:

WAN: IN = 5Mbps        OUT=252Kbps
LAN : IN = 415 Kbps    OUT = 4,41 Mbps

Ces chiffres signifient qu'il y a un flux d'environ 5 Mbps depuis internet vers le LAN. Typiquement du download.

aussi j'ai effectuer un test de bande passante dont les résultat sont:
Débit Descendant = 6.82 Mbps
Débit Montant      = 10.03 Mbps

et ceci montre un flux typiquement VDSL (en ADSL, c'est souvent fortement asymétrique avec un flux descendant plus important.
On s'attend naturellement à un flux descendant plus important que le flux montant mais, pour des raisons que j'ignore, la décroissance du débit n'est pas équivalente sur les 2 flux en VDSL et le flux montant semble mieux résister à l'atténuation liée à la distance.
Ceci étant, ça ressemble (si tu es bien ne VDSL) à une perturbation "quelque part", peut-être sur la ligne mais peut-être également sur les équipements entre la machine qui fait le test et le serveur.

@jdh:

Etes vous certain que Squid sait gérer la notion d''utilisateurs' ?

oui, par exemple "acl ident" et bien sur proxy_auth qui renvoie le code HTTP 407  ;)

Certains produits gère la redondance.

Tu peux me donner plus de précision ? Mon hébergeur me facture 1000 € pour me mettre en place une seconde rocade cuivre.

Si je n'ai qu'une rocade cuivre et que je veux faire du ha avec mes pfsense, quelles sont mes solutions ?

Un switch ou je connecte mes 2 pfsense mais si le switch tombe je perds mon réseau.

Autre solution ?

Merci

tu devrais essayer de poser ta question dans la section "en anglais" du forum:
https://forum.pfsense.org/index.php?board=60.0 où tu as plus de chance de trouver une réponse.

Il y a par ailleurs dans cette section beaucoup de sujets relatifs à la mise à jour des black-list. En faisant une recherche tu y trouveras peut-être directement la réponse  ;)

Si on cherche "freebsd swap_pager_getswapspace failed", on arrive sur un lien tel https://forums.freebsd.org/threads/22362/

Comme indique ccnet (et c'est juste l'analyse des mots), cela concerne le swap de l'OS FreeBsd qui est la base de pfSense.
Il faut nécessairement regarder dans cette direction …

Il est notable qu'un système de base 'unix' (c'est le cas pour Linux ou les XBsd), utilise généralement une zone swap sur disque, pour gérer le cas de débordement mémoire.
L'utilisation du swap correspond à un débordement insoluble : le swap ajoute de la mémoire ... mais il faudrait redémarrer de suite : le swap peut aider à faire un redémarrage proprement et non 'à la sauvage' !

Un firewall est nécessairement conçu avec des règles précises de sizing du file system root et du swap. en fonction de la mémoire et de la taille du disque.
Donc un firewall, s'il doit utiliser du swap, est en situation très anormale en terme mémoire : probablement un package qui fout le bazar, un espace trop étriqué, ...

16G de disque pour 2G de mémoire, cela doit laisser de la marge : je peux imaginer un swap à 4G (même si c'est inutilement gros), il reste 12G pour la racine (root) : sans package il n'y a pas de difficulté ...
Où alors, le pire, le swap n'existe pas parce que l'install initiale aurait été manuelle à ce moment.
Peu imaginable : une erreur disque.
Aisément imaginable : le swap a été verolé : une désactivation + une recréation du swap ?

Ce n'est pas parce que vous ne voyez pas de piste, qu'il faut oublier la règle essentielle 'fournir de l'info' (et encore plus dans un tel contexte !).