pfsense proxy configuration télégram
-
Bonjour à tous,
J'ai configuré un proxy transparent sur le serveur pfsense. Tout fonctionne correctement mise à part la connexion de l'application Telegram. Je sais que je dois rajouter les adresses IP de Telegram comme cela :
149.154.1(6[0-9]|7[0-5]).(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])
91.108.([4-7]|5[6|7]).(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])par contre je ne sais pas ou les renseigner.
La configuration du proxy est en splice all.
Pouvez vous m'aider svp?
Merci
-
Le proxy transparent (avec l'option SSL_Bump) est A DECONSEILLER.
Je préconise
- un proxy dédié (=externe du firewall)
- la méthode WPAD de découverte auto du proxy
Maintenant, toutes les applications fonctionnent elles avec un proxy ?
(Pourquoi mettre un proxy si c'est pour exclure certaines @ip ? Ca n'a pas de sens !)
-
@jdh Bonjour,
Merci pour votre réponse.
Pour mon information personnelle pour quelle raison déconseiller vous le proxy transparent avec l'option SSL_Bump?
Je vais suivre votre préconisation c'est à dire monter un proxy dédié avec la méthode WPAD.
Ce que je souhaite faire au final c'est réalisé un contrôle parental, bloquer l'accès à certain site en fonction des horraires. C'est pour cette raison que je me suis tourné vers squid. A moin que vous avez une autre solution ?
Cordialement,
-
La première chose à faire est de configurer en statique le proxy sur le PC qui accède à Telegram : on voit ainsi si Telegram fonctionne avec le proxy (explicite). Si cela fonctionne, avec WPAD, cela fonctionnera ...
Proxy transparent et SSL_bump a été maintes fois évoqué sur ce forum.
Il est notable que SSL_bump 'viole' l'intégrité de la connexion https en changeant le certificat : il est plus que probable que Telegram ne peut supporter ce changement ... (alors que Telegram va fonctionner probablement avec un proxy explicite ?)En outre, et de toute façon, SSL_bump est condamné avec HSTS ...
-
@jdh
Merci pour votre réponse.Pour être plus précis. le dysfonctionnement de télégram est une conséquence de la mise en place du proxy sur le réseau. Ce n'étais pas mon but initial de faire passer télégram par un proxy.
Je me suis rendu compte que la mise en place d'un proxy sur le réseau à plus de contrainte que prévu. Dysfonctionnement de service en ligne (Netflix, Amazon,etc...) ainsi que de certains équipements (console de jeux ...).
Mon objectif était comme évoqué précédemment de faire une sorte de contrôle parental en bloquant l'accès à certains sites web dans une plage horraire par exemple et étant donné que j'ai un firewall pfsense, je me suis dis que je pouvais m'en servir également pour ca en installant squid et squidguard.
Je pense que je vais abandonner l'idée de faire de pfsense un service de contrôle parental en passant par squid. J'ai très certainement pas les compétences pour le faire (je ne suis pas du métier, vous l'avez certainement remarqué) ou bien squid n'est pas prévu à cet effet. Je vais essayer de trouver une autre solution.
Je vous remercie en tout cas pour le temps que vous avez consacré à me répondre.
Cordialement,
-
Je suis fervent partisan de l'utilisation d'un proxy : dédié et explicite (avec WPAD).
Je suis fervent détracteur du proxy : sur le firewall, transparent et sans 'truandage' du certificat.Le premier
- ne surcharge pas le firewall (dont le rôle est de filtrer rapidement les flux),
- est explicite et non transparent, donc fonctionne avec le VRAI certificat pour https.
Le second
- charge inutilement le firewall,
- est faussement simple : la transparence ne fonctionne que pour http,
- 'truande' le cryptage et la sécurité, en cassant le cryptage et en remplaçant le certificat.
Pour un particulier, il est difficile de mettre en place un proxy dédié.
En entreprise, il faut (déjà) une bonne expertise pour en créer, un correctement.