Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense + proxy, quelques questions.

    Français
    3
    5
    1.5k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      latitude
      last edited by

      bonjour,

      je me permet d'ouvrir encore un sujet sur squid et pfsense, car j'ai un certains nombre de question sur le sujet, qui est nouveau pour moi, et tout est un peu confu.

      voici mon installation actuelle, (cf image), donc, quelque chose de très traditionnelle, et qui fonctionne sans aucun souci depuis plus d'un an..

      je veux ajouter un proxy pour avoir les log/archives de connexion sur la partie portail captif (OPT1)
      j'ai bien compris qu'il n'était pas conseillé de l'installer sur pfsense (de toute façons, mon boitier alix ne me le permet pas en terme de performance)

      je vais ajouter sur mon réseau un server de virtualisation pour héberger certains service web (un proliant DL380G5) , vu que je ne vais faire tourner que 4 VM dessus j'ai une grosse réserve de puissance, donc je pensais installer mon squid dans une VM dédié.

      voici les question que je me pose dans un premier temps.

      • quel est le meilleur emplacement pour installer le serveur (les autres services doivent toujours être accessible par les ordi du réseau) , je pensais le mettre sur ma boucle OPT1.
      • y a t'il des impact de performances notable sur le fait d'installer squid, et de plus de la faire tourner sur une VM (je compte quant meme lui mettre de bonne ressources matériel en Ram et Proc)

      j'ai pas mal cherché, je trouve essentiellement des tuto pour installer squid sur pfsense, ce que je ne veux pas faire, si quelqu'un a un lien d'un bon guide de configuration je suis preneur, car j'ai du mal à visualiser la configuration de tout ça (comment je régle pfsense pour tout transit par le proxy par exemple..)

      merci, en espérant ne pas avoir été trop confu

      1 Reply Last reply Reply Quote 0
      • TataveT
        Tatave
        last edited by

        Salut salut

        je ne suis pas spécialiste dans ce domaine non plus.
        Je suis aussi d'avis d'installer un proxy hors Pfsense.

        Il existe des livres sur le sujet aussi traitant spécialement de squid chez ENI

        Tite Squid : Intégrez un proxy à votre réseau d'entreprise
        Auteur(s) : Loïc Thomas
        Editeur(s) : Eni
        Collection : Epsilon
        Nombre de pages : 322 pages
        Date de parution : 13/03/2013
        EAN13 : 9782746079182

        Je monterais peu être un proxy avec un reverse dans le mois prochain, je pense qu'il fera parti de ma documentation de départ en complément du site officiel de squid.

        Pour les tuto je pense qu'une cherche associant obligatoirement Pfsense donne le résultat voulu.
        Car là vous voulez l'installer dans une VM sur une distribution linux ou BSD, j'ai même vu des installation sur un Windows serveur.
        C'est qu'après en jouant sur les règles de routage que vous devrez vous recentrer sur le couple pfsense/squid.
        Enfin je pense ne pas trop me planter sur la partie théorique.

        aider, bien sûre que oui
        assister, évidement non !!!

        donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
        apprendre à un homme comment cuisiner, il sera vivre.

        1 Reply Last reply Reply Quote 0
        • L
          latitude
          last edited by

          j'ai commencé à bricoler pour comprendre un peu le principe, j'ai installer squid sur une vm pour regarder un peu la config.
          ce qui est bien, c'est que l'on peut le configurer avec webmin.

          si j'ai bien compris le principe, en gros, je fais une règle qui renvois tout ce qui proviens de la boulce de mon portail vers mon serveur squid,
          je configure squid pour tous récupérer, puis rediriger vers le routeur
          et là, je fais une règle qui permet la sortie vers le net que si çà viens de l'ip du serveur squid…..

          j'avance doucement.

          1 Reply Last reply Reply Quote 0
          • L
            latitude
            last edited by

            bonjour,

            alors je fais un peu remonter le sujet, vu que j'ai un peu avancé, ce qui fait que j'ai trouver les solutions à pas mal de mes questions…et bien sûr, j'en ai soulevé de nouvelles.

            et puis ça peut intéressé du monde, alors j'explique ce que j'ai fait, (ça marche, mais ça ne veux pas dire qu'il n'y a pas des erreurs).

            le but , c'était dans un premier temps, de constituer des log de connections sur ma boucle OPT2 (où j'ai mis un portail captif, mais çà c'est pour la suite....).

            donc, j'ai installé sur mon LAN un server squid3 en suivant ce tuto

            http://ubuntuserverguide.com/2012/05/how-to-install-and-configure-proxy-server-with-squid3-on-ubuntu-server-12-04-lts.html

            je le fais tourner dans une VM, (pour l'instant je test, mais après je compte garder mon squid dans une vm, mais en lui mettant pas mal de ressources en espace disques ....)

            j'ai réglé le fichier conf de squid pour un proxy transparent,  et pour "écouter" les adresses provenant de ma boucle OPT2 (192.168.3.XX)

            sur mon pfsense, j'ai crée la régle suivante :

            et ça marche nickel.
            je pense pas avoir fait d'erreur, mais n'hésitez pas si il y a des choses qui ne vous paraissent pas logique.

            maintenant , il me reste a régler un peu plus finement mon squid,
            pour l'instant voici les réglages que j'ai mis pour les objets en cachecache_

            mem 8 MB
            maximum_object_size_in_memory 32 KB
            memory_replacement_policy heap GDSF
            cache_replacement_policy heap LFUDA
            cache_dir aufs /home/precise/cache 50000 32 512
            maximum_object_size 128000 KB
            cache_swap_low 95
            cache_swap_high 99

            (donc 5GO de cache)

            maintenant voici les questions qui arrivent pour la suite (certaine sont probablement très basique..mais bon..)

            • comment suivre la taille de mes logs ? (histoire de faire des projections pour dimensionner ma VM par la suite)
            • mon portail utilise des vouchers, existe il une solution pour recouper les ip stocké dans squid avec les numero de voucher correspondant dans pfsense ?
            • en cas de coupure du serveur squid (on sait jamais, panne Electrique etc…) y a t'il un moyen de renvoyer le trafique d'OPT2 vers le wan (pour éviter que les utilisateurs 'finissent dans le vide")
              voilà, ...si ca peut aider, en tout cas merci pour l'aide

            ++

            1 Reply Last reply Reply Quote 0
            • ?
              Guest
              last edited by

              Bonjour,

              Je suis nouveau dans le forum.

              Je n'ai malheureusement pas les réponses à tes question, mais J'ai, comme toi des problèmes avec pfsense et squidgard.

              J'ai une infrastructure complètement virtualisée et mon pfsense l'est aussi. J'ai ajouté squid et squidgard sur le pfsense 2.4.4

              Mon traffic vers internet devient incroyablement lent quand j'active squid.
              Vu les commentaire ci-dessus je vois que c'est normal, car pas conseillé d'installer squid sur pfsense.
              Mais pourquoi ?
              N'y  at'il pas moyen de gonfler la vm pour le faire quand même ?
              J'ai encore de la marge pour du cpu et de la ram, mais combien peut en supporter la vm pfsense a votre avis ?

              Merci

              PS: je dois ajouter que j'ai 150 personnes qui utilisent cette ligne :-)
              De plus j'ai activé 10 vlan sur l'interface LAN

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.