PfSense: Squid + DansGuardian + Captive portal
-
Ho escluso il captive portal, ma anche Radius perché nella mia situazione dovrebbe bastarmi l'autenticazione squid (local).
I client prendono ip dal dhcp della eth1 del server che però risiede su altra sottorete rispetto al firewall pfsense:
Server Ubuntu
Eth1 192.168.100.1 (dhcp per i client), Eth2 192.168.1.1 (per dialogare con fw pfsense)
Firewall Pfsense
Eth1 lan 192.168.1.253 (per dialogare con il server), Eth2 wan x.x.x.x (ip pubblico)Per far navigare i client sia senza (porta 8080 filtrata da dansguardian) che con autenticazione squid (porta 3128), come devo fare secondo voi se i client prendono ip della rete 192.168.100.x e non della rete 192.168.1.x del firewall?
La cosa mi sta facendo, per ora, sclerare… :-\ -
Ciao,
il modo più banale è cambiare la subnet in 255.255.0.0 così hai tutta la classe 192.168.0.1 - 192.168.254.254
Ciao -
Scusa ma c'è un motivo per cui non fai fare da DHCP server a pfSense? A differenza di altri firewall la sezione DHCP server è anche implementata in modo abbastanza completo..
-
Ciao,
il modo più banale è cambiare la subnet in 255.255.0.0 così hai tutta la classe 192.168.0.1 - 192.168.254.254
Ciaoprovo così, grazie.
Mi viene però un dubbio su tale configurazione: se così si "vedono" le due sottoreti fra loro, cosa comporterebbe invece mettere le due eth del server sulla stessa classe? es. eth0 192.168.0.1 e eth1 192.168.0.2. Non è un po' la stessa cosa?
-
Scusa ma c'è un motivo per cui non fai fare da DHCP server a pfSense? A differenza di altri firewall la sezione DHCP server è anche implementata in modo abbastanza completo..
ciao,
perché il server è un ltsp è deve assegnare ip dinamici per far partire i client in modalità fat o thin. -
Si può fare su DHCP Windows:
https://help.ubuntu.com/community/UbuntuLTSP/LTSPWindowsDHCPQuindi credo funzioni anche su DHCP BSD..
-
Ciao,
il modo più banale è cambiare la subnet in 255.255.0.0 così hai tutta la classe 192.168.0.1 - 192.168.254.254
Ciaoprovo così, grazie.
Mi viene però un dubbio su tale configurazione: se così si "vedono" le due sottoreti fra loro, cosa comporterebbe invece mettere le due eth del server sulla stessa classe? es. eth0 192.168.0.1 e eth1 192.168.0.2. Non è un po' la stessa cosa?
-
Si può fare su DHCP Windows:
https://help.ubuntu.com/community/UbuntuLTSP/LTSPWindowsDHCPQuindi credo funzioni anche su DHCP BSD..
Credo mi incasinerebbe l'avvio dei fatclient per i servizi nbd e tftp.
-
Escludendo a priori il captive portal, ho impostato il bond del server sulla stessa subnet della lan di pfsense.
Adesso quindi la subnet è solo una e i client dialogano direttamente con il fw pfsense come proxy.
Il boot dei fatclient avviene sempre da server ltsp. Ho risolto così anche se non trovo un modo per far autenticare i client wifi che hanno impostazione automatica del proxy. Ma apro un thread a parte per questo. -
Escludendo a priori il captive portal, ho impostato il bond del server sulla stessa subnet della lan di pfsense.
Adesso quindi la subnet è solo una e i client dialogano direttamente con il fw pfsense come proxy.
Il boot dei fatclient avviene sempre da server ltsp. Ho risolto così anche se non trovo un modo per far autenticare i client wifi che hanno impostazione automatica del proxy. Ma apro un thread a parte per questo.No, non riesco in alcun modo a far autenticare gli utenti che nel browser hanno impostazione automatica del proxy. In pratica navigano liberamente e senza autenticazione come se squid fosse in transparent mode (e non lo è) e non viene tenuta traccia del traffico nei log.
Un bel buco sulla sicurezza.
Già provato con PAC/WPAD ma senza risultato.
A qualcuno è già successo?
