Certificats pour le filtrage HTTPS
-
Oui je suis désolé Chris4916,
Par "sous-domaine" j'entendais bien http://wpad.mon_domaine, je ne voyais pas utiliser quoi d'autres comme terme ::)Et sinn, oui Jdh j'ai compris récemment qu'il fallait utiliser le serveur web nginx
avec ce lien (Google Translate pour les allergique à l'anglais, la traduction est reste compréhensible) :
https://forum.pfsense.org/index.php?topic=109190.msg623963#msg623963)Ce qui m'a permis de mieux comprendre ce tutorial (à adapter au fichier du routeur):
https://nguvu.org/pfsense/pfSense-2.3-WPAD-PAC-proxy-configuration-guide/Il ne me reste plus qu'à créer mes serveur nginx ;D
-
Bonjour à tous!
j'avance petit à petit dans le monde du WPAD, mais j'ai une question? ::)
Lorsque je tape dans mon navigateur http://wpad.mon_domaine/proxy.pac, le fichier doit apparaître ou bien se télécharger? ???
Dans mon cas il apparaît seulement…Je suis actuellement ce tutorial :
https://datalogus.blogspot.fr/2016/06/pfsense-231-security-explicit-squid.htmlJe teste ce lien (qui est donné dans le tutorial) qui me donne les infos que reçoit le navigateur de la part du proxy :
chrome://net-internals/#proxy
Sauf que dans mon cas, je vois que le navigateur ne reçoit pas mon fichier proxy.pac... -
Chaque mot, chaque phrase a son importance !
J'ai écrit (pas pour rien !)
Pour le serveur web, il est nécessaire de bien configurer le mime-type pour .dat et .pac
Ecrivez votre script et tester http://wpad/wpad.dat ou proxy.pac : recevez vous bien le script ?A la lumière du lien indiqué par Juve, je recommande (désormais) d'utiliser autoprox.exe …
WPAD fonctionne bien ... si on fait ce qu'il faut pour qu'il fonctionne, et il y a une procédure précise pour cela !
-
Bonjour jdh et merci pour ton post!
Oui effectivement, j'ai lu la fin de ton topic un peu vite sans voir la dernière partie sur autoprox…
Avec autoprox j'ai pu faire deux tests.
Le premier test =>
"C:\Users\stagiaire\Desktop\4628.autoprox>autoprox -h http://www.facebook.com C:\Users\stagiaire\Desktop\proxy.pac
The Winsock 2.2 dll was found okay
Will call InternetInitializeAutoProxyDll with helper functions
url: http://www.facebook.com
autoproxy file path is : C:\Users\stagiaire\Desktop\proxy.pac
Calling InternetInitializeAutoProxyDll with C:\Users\stagiaire\Desktop\proxy.pac
Calling InternetGetProxyInfo with url http://www.facebook.com and host www.facebook.com
ResolveHostByName called with lpszHostName: www.facebook.com
ResolveHostByName returning lpszIPAddress: 31.13.69.228
IsInNet called with lpszIPAddress: 31.13.69.228 lpszDest 192.168.2.0 lpszMask 255.255.255.0
IsInNet returning FALSE
Proxy returned for url http://www.facebook.com is:
PROXY 192.168.2.254:3128"Sur ce premier test, j'ai utilisé le chemin du fichier .pac sur mon ordinateur. A priori ça a l'air de fonctionner avec mon fichier.
Donc le contenu du fichier doit être justeLe deuxieme test =>
"C:\Users\stagiaire\Desktop\4628.autoprox>autoprox -h http://www.facebook.com http://wpad.localdomain/proxy.pac
The Winsock 2.2 dll was found okay
Will call InternetInitializeAutoProxyDll with helper functions
url: http://www.facebook.com
autoproxy file path is : http://wpad.localdomain/proxy.pac
File located on an http server: downloading http://wpad.localdomain/proxy.pac to C:\Users\STAGIA~1\AppData\Local\Temp\7EC4.tmp
URLDownloadToFileA error : 800C0019 -2146697191ERROR: URLDownloadToFileA failed with error number 0x0 0."
Sur ce deuxième test, j'ai utilisé le chemin du fichier .pac sur mon routeur. L'erreur qui ressort est
ERROR: URLDownloadToFileA failed with error number 0x0 0.donc il n'arriverait pas télécharger le fichier
Donc ce que je ne comprend pas, c'est pourquoi je ne télécharge pas le fichier, alors qu'il s'affiche quand je tape l'adresse "wpad.localdomain/proxy.pac" ? ???
-
Il y a 2 points à regarder :
- selon le browser, le fichier lu peut être wpad.dat ou wpad.da
- pense au type mime
-
Le code d'erreur correspond à un certificat SSL invalide…
code => 800C0019 -2146697191
https://msdn.microsoft.com/en-us/library/ms775145(v=vs.85).aspxLà je suis perdu...
Je n'y ai jamais touché depuis le début... :( -
Si vous affichez le certificat, que contient il ? La chaine de certification est bonne ? L'objet etc … ?
Pas si facile de tordre le cou à la logique de sécurisation de bout en bout qui est celle de SSL ... -
Si on réfléchit juste une minute, il est très clair que le navigateur, qui respecte WPAD, va chercher http://wpad.domaine/proxy.pac (ou wpad.dat).
Et certainement pas https://… .... à cause de l'inutilité de https dans la méthode (doit on vérifier le certificat ou l'accepter ?).La démarche normale de debug est de vérifier, à la main, par exemple, soit avec un navigateur qui doit proposer d'enregistrer le fichier, soit, en bash, par un wget.
Si d'aventure, il y a redirection vers https, cela signifie que l'on ne maitrise pas le serveur web (indispensable) qui fournit les fichiers script, en http seulement !
Et il y a lieu de se demander qui est l'administrateur ...Je répète que mettre en place WPAD n'est pas trop difficile, et est affaire d'une méthode simple : il y a des étapes, on les distingue, et on les vérifie une après l'autre ...
-
Là je suis perdu…
Je n'y ai jamais touché depuis le début... :(Touché à quoi ???
Finalement, c'est quoi ton montage ? car je suis un peu perdu…
- tu a installé le proxy Squid sur pfSense
- et tu as un serveur Web sur le LAN pour supporter le proxy.pac ?
un petit point de détail:
@jdh:Si on réfléchit juste une minute, il est très clair que le navigateur, qui respecte WPAD, va chercher http://wpad.domaine/proxy.pac (ou wpad.dat).
C'est vrai… mais uniquement pour IE si cette URL a été configuré dans l'option 252 de DHCP.
La méthode DNS, dites des "Well Known Alias", et qui est celle supportée par Firefox, s'appuie sur le nom de domaine associé au fqdn de la machine sur laquelle tourne le navigateur.
Si le fqdn de ta machine est "client.quelquechose.domaine", le navigateur va tenter de résoudre
"wpad.quelquechose.domaine" puis, si la recherche n'aboutit pas, "wpad.domaine" puis enfin "wpad" pour s'appuyer sur les éventuels domaines de recherches configurés.Quand au fichier cherché, il peut s'agir de proxy.pac, wpad.dat... ou même de wpad.da (avec IE 6.0 mais tu ne devrais plus en avoir ;D )
2 sources d'information supplémentaire si c'était nécessaire:
https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid
https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol -
Bonjour tous!
Pour ccnet :
En matière de certificat je suis pas très performant…
le seul certificat dans "Cert Manager" est le certificat de base "webConfigurator default" que je n'ai jamais touché :-\Pour jdh :
Oui donc mon problème c'est que le navigateur ne télécharge pas le fichierPour Chris4916 :
Oui tous les services se trouve sur mon routeur, et donc de ce fait j'utilise le serveur Nginx de mon routeur :) -
Je me suis donné la peine de créer un fil précis, avec les bons liens, et certains ont apporté une bonne contribution (Juve - autoprox.exe).
Je conseille de se référer à ce que j'ai écrit (inutile à certains de re-citer les url que j'ai indiqué …)
L'url indiqué (nguvu) fournit les mêmes renseignements : en anglais, moins structuré, pfsense-dépendant, ...Je répète, cela fonctionne bien et efficacement ... en respectant chaque étape.
Je ne cache pas que je recommande d'appliquer cela à un proxy dédié, en particulier parce que tout ce qui sera nécessaire sera DANS ce proxy dédié.Il est notable qu'il faut,
- un réglage pour le serveur DHCP,
- un réglage pour le serveur DNS (avec la précision indiquée pour les serveurs DNS microsoft),
- un serveur web, dument configuré, pour fournir le script (sous les 3 noms),
Chaque élément doit être, dument et méthodiquement, testé !
Si vous butez sur le serveur web,
- avez vous ajusté la configuration du serveur web ?
- avez vous regardé les logs du serveur web : code 200 ou autre ?
'Ca ne fonctionne pas' ne sert à rien : qu'avez vous fait, qu'avez vous regardé, comment testez vous ?
autoprox.exe a de l'intérêt, surtout sur le script, mais seulement si DHCP, DNS et web fonctionnent ...
Ca tourne largement en rond ...