Certificats pour le filtrage HTTPS

chris4916

J'essaie d'installer WPAD depuis quelques jours, essayer le tuto que tu as mis un peu avant et encore d'autres, mais rien n'y fait :'(

Si tu décrivais ce que tu fais, ce qui fonctionne et ce qui ne fonctionne pas, ce serait beaucoup plus simple pour t'aider.

est que le proxy fonctionne en mode explicite ?
est-que ton proxy.pac fonctionne ?
arrives-tu à le lire sur le serveur "http://wpad.tondomain/wpad.dat" ?
comment pousses-tu l'information relative à ce serveur ? (WPAD, c'est cette ligne uniquement et c'est assez simple, via DHCP et/ou DNS)

sim74

jdh ton post sur wpad est, je pense, très complet! (https://forum.pfsense.org/index.php?topic=105675.msg643146#msg643146) je l'ai relu ton post en long large et travers, depuis plusieurs jours en espérant pouvoir me débloquer.

Comme je l'ai dit juste avant, ayant vu plusieurs tutos, topics de forum (pour ne pas dire beaucoup! Mes résultats sur Google s'affichent maintenant en grande majorité violet!)

Mais malgré cela, en ayant :

Créé les 3 fichiers .pac, .dat et .da dans le répertaoire /usr/local/www/ de mon routeur


function FindProxyForURL(url, host)
{
   if (isInNet(host, "192.168.2.0", "255.255.255.0")) {
      return "DIRECT";
   } else {
      if (shExpMatch(url, "http:*")) 
         return "PROXY 192.168.2.254:3128" ;
      if (shExpMatch(url, "https:*"))
         return "PROXY 192.168.2.254:3128" ;
      if (shExpMatch(url, "ftp:*"))
         return "PROXY 192.168.2.254:3128" ;
      return "DIRECT";
   }
}

Ajouté l'option 252 sur le dhcp de mon LAN pour chaque fichier
Ajouté un "Host Overrides" wpad
Bloqué les ports 80 et 443 (Internet coupé)/ Créé un port Forwarding des 80 et 443 vers celui du proxy (3128) (ne redirige rien du tout)

Et en testant avec monip.org et lagado.com pour vérifié si mon proxy était détecté ( Il ne l'est pas )

je n'arrive pas à mettre en place WPAD

voilà voilà

Donc tout ça pour dire, oui jdh j'ai vu ton post ;D

sim74

Merci Chris4916 :)
Oui le Proxy fonctionne en mode explicite, lorsque je renseigne dans les options du navigateur l’adresse de celui-ci.
Comment peut-on vérifier le fichier proxy.pac? ???
Quand j'écris l'adresse http://wpad.mondomain/wpad.dat je récupére bien le fichier wpad.dat
Pour ce qui est pousser l'information, comme je l'ai dit juste avant j'utilise le DNS Forwarder et mon DHCP

Petite information supplémentaire,
Je sais qu'il a été dit et re-dit d'utiliser un serveur Proxy dédié mais le proxy se trouve sur mon routeur car j'ai n'ai qu'une quinzaine de connections à tenir maximum, et pas d'autres PCs à pouvoir mettre en place.

Voilà voilà :D

chris4916

Donc probablement que ta syntaxe pour l'option 252 n'est pas la bonne.

Voila un exemple qui fonctionne.

Option: 252
type: string
Value: "http://wpad.mon_domaine/wpad.dat" (avec les quotes)

un petit point de détail: un des modes de découverte de l'URL du proxy se base sur la résolution de nom.
Il faut donc que ton serveur DHCP pousse un domaine de recherche, mais ce doit être le cas avec le serveur DHCP de pfSense.
Tu peux le vérifier en cherchant "http://wpad/wpad.dat"

Pour le DNS (je n'utilise pas "forwarder" mais "resolver"):

local-data: "wpad IN TXT service:wpad: http://wpad.mon_domaine/wpad.dat"
local-data: "_wpad._tcp IN SRV 0 0 80 wpad.mon_domaine."

Et le forward des ports 80 et 443 vers le port 3128…. bof... quelle utilité si tu as un proxy en mode explicite ?

sim74

Mon Option 252 est juste, je l'avais bien écrit comme ça :)
Pour ce qui est du DNS resolver je pensais pas qu'il y avait de l'importance
Je Check tout ça demain matin ! :)

chris4916

@sim74:

Mon Option 252 est juste, je l'avais bien écrit comme ça :)

en type "string" ? si oui, alors il n'y a pas vraiment de raison que ça ne marche pas ;)

chris4916

Pour compléter un ce sujet:

il faut bien configurer, je ne le dirais jamais assez, toutes les méthodes de découverte. DHCP n'est utilisé, je crois que par IE. Firefox utilise le DNS (well known domain)
A noter que l'enregistrement SRV de mon exemple précédent n'est très probablement pas utile tant qu'il n'y a pas de navigateur qui implémente la RFC2782 mais ça ne fait pas de mal de le préparer…
WPAD est très utile, voire indispensable dès que le nombre de client devient un peu conséquent. Ne pas oublier cependant que cette solution présente un risque potentiel puisqu'il est assez facile de déployer sur un réseau, ne serait-ce que brièvement, un serveur DHCP qui pousserait l'option 252 vers un proxy autre que le proxy officiel et de configurer ce proxy pour casser un flux HTTPS :-X

sim74

Je reviens au rapport !
Du coup j'ai changé le value dans le DHCP, j'ai utilisé ton exemple

Mon fichier wpad.dat apparaît bien lorsque je tape http://wpad.mon_domaine/wpad.dat

J'ai bien changé en DNS Resolver
Et j'ai ajouté les lignes dans "Customs Options"
local-data: "wpad IN TXT service:wpad: http://wpad.mon_domaine/wpad.dat"
local-data: "_wpad._tcp IN SRV 0 0 80 wpad.mon_domain."

Et pour finir j'ai retiré ma regle de forwarding des ports 80 et 443 vers 3128,
Je bloque juste les ports 80 et 443 maintenant :)

Par contre je me suis trompé…
Quand je renseigne l'adresse du proxy dans le navigateur, je n'accède plus à internet...
Mais je peux quand même accéder à mon fichier wpad.dat quand je tape http://wpad.mon_domaine/wpad.dat :(

chris4916

C'est l'étape numéro 1: le préalable est que le proxy soit configuré correctement !
Ou est ton proxy ?

sim74

Mon proxy est sur le router

chris4916

:)
Et donc tu t'es bien assuré que le Fw accepté les connexions du LAN vers pfsense sur le port d'ecoute du proxy….

Par ailleurs, si le proxy est sur pfSense, il est utile de mettre dans ton proxy.pac une directive no-proxy (direct) pour les IP sur le LAN

sim74

Oui bien-sur mon FW laisse tout passé :)

Pour la directive no-proxy, c'est bien ce qui correspond à mon premier "if" ? ???


function FindProxyForURL(url, host)
{
   if (isInNet(host, "192.168.2.0", "255.255.255.0")) {
      return "DIRECT";
   } else {
      if (shExpMatch(url, "http:*")) 
         return "PROXY 192.168.2.254:3128" ;
      if (shExpMatch(url, "https:*"))
         return "PROXY 192.168.2.254:3128" ;
      if (shExpMatch(url, "ftp:*"))
         return "PROXY 192.168.2.254:3128" ;
      return "DIRECT";
   }
}

chris4916

Oui.

Donc dans ce cas, et comme je le suggère un peu plus haut, il faut faire les choses dans l'ordre et commencer par configurer un proxy qui fonctionne.

Toutes les histoires de .pac, wpad et autres viendront plus tard.
Dans ce que je comprends, pour le moment ton proxy ne fonctionne pas en mode explicite donc ce n'est pas la peine d'aller plus loin.

N'aurais tu pas, par hasard, commencé par un proxy en mode transparent, ce qui expliquerait ton forward :P

sim74

Etape 1 OK!!
Quand je renseigne l’adresse du proxy sur le navigateur, ça fonctionne le proxy est bien détecté!! (alleluia)

Et non j'ai su résister à la tentation de ne pas cliquer sur "Enable Transparent Proxy" ;D

chris4916

C'est une bonne nouvelle sauf que si tu n'explique pas ce qui ne fonctionnait pas et ce que tu as configuré, ça n'aide personne. C'est du forum à sens unique : "aidez moi svp.. ça y est ça marche merci et au revoir…". Et le prochain va faire pareil si il ne tire aucun enseignement de ton expérience.

Mais ce n'est que mon point de vue, bien sûr :P

sim74

C'est pas faux !
Mais la solution que je vais apporter n'est pas très réjouissante…
J'ai considéré qu'à force d'avoir essayer plusieurs solutions différentes, il valait mieux remettre les valeurs d'usine de PFSense et recommencer sur une base saine en faisant une configuration au plus simple c'est à dire :

Faire le wizard du début
Règles de Firewall au plus simple en laissant tout passé
Enable le DHCP + Donner la plage d'adresse IP sur le DHCP
Laisser le DNS en Resolver sans rien cocher
Enable le serveur Squid en choisissant l'interface souhaité + cliquer sur Save dans local cache
Reboot du Firewall
Renseigner l'adresse du proxy dans le navigateur

Du coup c'est assez spartiate!

chris4916

Donc maintenant que cette partie fonctionne, le reste devrait aller presque tout seul ;). Step by step

sim74

Trop beau pour être vrai, ça n'a pas durer longtemps… >:(
J'ai pas remis de message depuis hier pour la suite des étapes,
Mais j'ai un nouveau problème... mon proxy n'est pas stable! Je navigue avec puis tout seul il va me couper la connection ! :(
Sur Google Chrome j'ai "ERR_TUNNEL_CONNECTION_FAILED"
Et dans les logs de Squid "TAG_NONE/503"
Et je ne comprend pas à quelle raison ça arrive !

Pour le refaire démarrer correctement, il faut que je redémarre le routeur! Et encore ça marche pas tout le temps

chris4916

Ça ressemble à quelque chose de pas très propre avec la connexion SSL et je suppose que ça ne t'arrive qu'en HTTPS.
Il faut regarder cette partie de ta conf dans Squid.

sim74

Le problème était aussi avec les sites en http, je tombais sur la page de squid qui me disait qu'il n'arrivait pas a résoudre le nom du site…
Du coup j'ai retouché mes DNS et ça à l'air de fonctionner pour le moment! :)

Pour la configuration automatique du proxy, je dois bien ajouter les fichiers .pac, .dat et .da dans /usr/local/www?
Et rajouter le nom de sous-domaine à mon routeur?
c'est bien ça?