Vlan invité + portail captif + proxy
-
Il n'y a pas que des soucis éthiques avec SSLBump : il faut (rien d'insurmontable mais il faut y penser) que le certificat utilisé pour la partie "interne" du flux soit trusté par tous les clients sous peine d'avoir plein de messages de warnings.
Je ne connais pas d'autres solutions mais je ne connais pas non plus le besoin. On discute de proxy parce que tu penses que c'est la bonne solution mais selon le besoin à couvrir, il y a peut-être d'autres options comme des trucs au niveau du DNS, pfblokerng et autres "safe DNS" par exemple
-
Pas faux.
En fait, je n'ai pas parlé de tous les réseaux interconnectés entre eux et de l'architecture complète.
Pour faire simple, mon réseau PEDA passe par mon proxy local (Squid) qui lui forward à un proxy parent (protection des mineurs) sur lequel je n'ai aucun pouvoir.Et là, le réseau GUEST que nous avons mis en place n'est pas du tout filtré (il sort en direct sur notre WAN) et nous devons faire passer ce flux par le proxy de la protection des mineurs (donc par notre proxy local qui redirigera vers le proxy parent).
Donc je ne pense pas me tromper qu'il faut faire passer ça par notre proxy qui est configuré pour renvoyer à son parent ?
Edit : Pour que tous les clients aient confiance en mon certificat il faut que j'achète un certificat à une autorité de confiance. Ou alors que je pousse mon autorité sur les clients mais ce n'est pas possible que je n'ai pas la main sur les clients.
Ce sont des externes, qui se connectent avec leur propre poste. -
Oui ça semble faire du sens, comme le disent nos voisins britons.
Ou alors envoyer directement au proxy parent si le passage par le proxy intermédiaire n'a pas d'utilité réelle.Ça vaut probablement le coup de regarder plus en détail pourquoi le mode transparent ne fonctionne pas comme escompté.
-
Ok donc, ce serait du transparent pour le HTTP mais pas pour le HTTPS (donc soit bloqué soit pas filtré).
Aurais-tu une piste pour la configuration de Squid en mode transparent sur CentOs 7 ?
J'ai trouvé quelques guides qui ne disent pas la même chose et que je n'arrive pas à appliquer. -
Ok donc, ce serait du transparent pour le HTTP mais pas pour le HTTPS (donc soit bloqué soit pas filtré).
Effectivement, en mode transparent, HTTPS est complètement ignoré (sauf SSLBump)
Aurais-tu une piste pour la configuration de Squid en mode transparent sur CentOs 7 ?
J'ai trouvé quelques guides qui ne disent pas la même chose et que je n'arrive pas à appliquer.A mon avis, ce n'est pas une version "CentOS" qu'il faut regarder mais la doc de Squid en fonction de la version que tu as déployé
http://wiki.squid-cache.org/
http://wiki.squid-cache.org/SquidFaq/InterceptionProxy -
Hello !
Une autre question, afin d'être sûr.
Peut-on, à partir du PfSense, gérer un fichier pac, WPAD, pour auto configurer les clients du GUEST ? -
C'était possible jusqu'en 2.2.x car il y avait un support d'un plugin de type vhost pour exposer le proxy.pac mais celui-ci n'est plus je crois, supporté
Par contre, DHCP et DNS de pfSense peuvent bien sûr pousser les infos nécessaires -
Ah ? C'est exactement ce que je cherchais quand j'ai été voir le DHCP et DNS de PfSense.
Mais je n'ai pas vu ces options ?Pour rappel mon PfSense est en 2.2.6
Edit : Ok, après plusieurs heures je trouve ce que je cherche :)
Je devrais donc créer trois fichiers .pac .da .dat pour plus de supports auprès des navigateurs.
Ajouter ces fichiers dans /usr/local/www de mon PfSense. (/usr/local/www/proxy.pac …wpad.da ...wpad.dat).
Paramétrer des options 252 dans mon DHCP Server PfSense de mon GUEST.
Paramétrer un override dans mon DNS.
Par contre je n'ai pas compris le principe du "mime-type" ?Me trompe-je dans quelque chose ? Les chemins ou autre ?
Merci
-
Ah mince, WPAD doit être mis en place sur mon PfSense ou sur mon proxy Squid ?
-
(WPAD) Edit : Ok, après plusieurs heures je trouve ce que je cherche
Mince, dire que quelqu'un s'est donné la peine de créer un fil, sur ce forum, spécifiquement pour WPAD : comment ça fonctionne, ce qu'il faut faire, les bons liens, que, de plus, une bonne âme a ajouté un programme de test et vérification, au cas où on n'arriverait pas à le faire à la main … Désespérant ...
-
Ah mince, WPAD doit être mis en place sur mon PfSense ou sur mon proxy Squid ?
WPAD n'est pas un (1) composant que tu déploies sur une machine mais un ensemble de composants qui, correctement configurés permettent la découverte du proxy.
Il s'agit:
- d'un fichier proxy.pac (avec ses différentes déclinaisons car tous les browsers ne cherchent pas un fichier wpad.dat)
- et donc un serveur web pour supporter le proxy.pac
- de configuration au niveau DHCP et DNS pour communiquer aux clients où trouver ce fichier proxy.pac
à partir de la, tu es libre de t’organiser comme tu le souhaites pour utiliser le serveur web de ton choix dès lors qu'il va supporter les settings (e.g. mime), DNS et DHCP de ton choix.
-
Merci pour toutes ces réponses Chris. Au top !
Je me demandais surtout s'il y avait une bonne pratique de préconisée par rapport à la localisation du serveur WEB ?Jdh, eh oui, désespérant :/
(Le sujet, une fois trouvé, est bien utile cela dit !) -
Si j'ai écrit ce fil sur WPAD, c'était pour rassembler ce qui est nécessaire à la mise en place de WPAD, et démontrer que c'est à la portée de tout admin qui est méthodique et sait suivre des étapes.
Depuis très longtemps, j'écris sur le conseil de séparer le proxy du firewall (dès qu'on dépasse 15 utilisateurs par exemple ou dès qu'il y a un trafic sérieux).
Nécessairement sur ce proxy dédié, on installera par exemple un Apache puisqu'on en aura besoin pour les alertes SquidGuard ou la visu des logs (LightSquid p.e.).
Cet apache sera bien évidemment le lieu privilégié pour installer les fichiers .pac, .dat et .da (ainsi que les mime-type !).Cette dernière question montre d'ailleurs que pfSense n'est pas le lieu idéal, loin s'en faut, : comment définir les mime-type du serveur web de pfSense ?
-
Notre architecture est déjà posée et impossible à modifier :
GUEST –--- PfSense ------ Proxy local Squid ------ Proxy parent externe.
Je n'ai pas de SuidGuard sur mon proxy local, donc pas de serveur web installé et configuré.
N'est-il pas possible de paramétrer le serveur web nécessaire à WPAD dans mon PfSense ?
Avec Nginx dans la version PfSense 2.3. -
Techniquement, tu peux bien sûr le faire mais ça devient un peu tricky parce que Nginx est utilisé pour supporter le web gui de pfSense.
- il faut un vhost pour répondre à http://WPAD.ton_domain (cf la méthode des well known aliases)
- changer la conf de l'instance par défaut n'est pas une très bonne idée
- mais tu peux toujours (ce n'est pas sans risque) configurer une deuxième instance mais il faut maintenir les fichiers de conf à la main.
Ce n'est pas non plus très compliqué mais il faut bien être conscient des impacts
-
Je suis en train de tester la version 2.3.4 de PfSense et le package "vhost" n'est plus supporté donc c'est pas possible.
Je comprends bien la problématique d'utiliser le server web nginx utilisé par l'interface, ce n'est effectivement pas une bonne idée. Qui me dit que les mises à jours suivantes de PfSense changera pas à nouveau le serveur web GUI ? :)
Et le serveur Web du portail captif est lequel ? Puis-je utiliser celui-ci ?
-
Je reviens vers vous car je n'arrive meme pas à faire fonctionner Squid en mode transparent.
Config PfSense fur PAT HTTP vers PROXY:3130
Config Squid transparent :
http_port 172.17.240.1:3130 interceptTest :
Mon client Windows10 reçoit son adressage du réseau test.
J'ouvre un navigateur pour aller vers free.fr.
Le portail captif m'intercepte et me demande de m'authentifier.
Je m'authentifie.
Je ressaie "free.fr" et j'ai cette erreur :
Voici les messages du cache.log :
Une idée ? Je sèche complètement
Dans le squid.conf
A la base j'ai trouvé que c'est parce que le port est peut etre le même que le mode explicite. Je l'ai changé en 3130 au lieu de 3128.
J'ai ensuite trouvé qu'il faut renseigner l'IP du proxy avec le port : 172.17.240.1:3130Mais rien
-
Bon bon, je viens de trouver un mode de Squid qui fonctionne :
http_port 3130 accel
Quand je vais voir dans mon access.log, mon proxy local forward bien au proxy parent et les sites http sont bien filtrés (testé avec un site interdit, impossible d'y aller).
Mais je ne comprends trop ce mode accelerator en tant que proxy transparent ?
Est-ce parce que mon proxy local n'est finalement qu'un forward vers son proxy parent ?