OpenVpn + proxy

A Former User

Bonjour, j'ai un soucis au niveau de l'accès vpn depuis le site distant.
Voici un descriptif.

Site 1 : Pfsense 2.4.3 sans proxy mais avec pfblockerNg Serveur OpenVpN

Site 2 : Pfsense 2.4.3 avec proxy non transparent, antivirus squid, pfblockerng, Client vpn openvpn. Pas de filtrage web.

J'ai monté un vpn site à site avec openvpn avec clé partagé. Le vpn se monte.
Du site 2, je communique bien avec le site 1. J'arrive à accéder aux ressources web. Par contre j'ai un soucis avec squid.
Lorsque le site 2 accède à 192.168.1.6, on peut visiter le site web. L'application c'est GRR. Je peux me connecter, mais au moment de valider une demande de réservation, j'ai une erreur avec squid.

L'erreur suivante s'est produit en essayant d'accèder à l'url http://192.168.1.6…....
Réponse de taille zéro.
squid n'a pas reçu toutes les données pour cette requete.

Par contre du site 1 vers le site 2, j'arrive à faire un ping sur les machines mais je n'arrive pas à y accéder aux ressources web. J'ai bien autorisé dans le firewall/openvpn tout les protocoles sont autorisés.

jdh

Les débutants gagne à lire A LIRE EN PREMIER.
Vous ne fournissez pas assez d'infos …

Si vous avez 2 sites reliés par un VPN (Ipsec ou OpenVPN, peu importe), et si vous avez un proxy sur un firewall qui intercepte tous les trafics,
forcément le trafic vers l'autre site passera par le proxy, et ce n'est pas très bon !

Je préconise, dès qu'il y a du trafic un peu important, de

• disposer d'un proxy distinct du firewall,
• mettre en place WPAD
  Ce n'est pas pour rien.

Avec WPAD, il est aisé de régler l'utilisation ou non du proxy pour des sites reliés.

En tout cas, je fais comme cela, et je fais à la façon qui me semble la meilleure ...

A Former User

J'ai modifié mon vpn.
Dans les 2 sens je communique maintenant.
Et j'ai mis les adresse locaux en exclusions du proxy.
Et là plus de problèmes.

Je vais en effet voir pour faire du WPAD.

jdh

(Malgré le peu d'info …)

Squid, on le configure une fois, en particulier pour les acl src : réseaux autorisés à passer par Squid.

WPAD, par définition, fournit un script 'javascript' qui, en fonction d'une URL, retourne soit 'DIRECT' soit 'PROXY:xxxx:xxx'.
Cela suffit à créer les exclusions nécessaires sans avoir à toucher à la config Squid.

A Former User

Justement concernant les acl.
J'ai vu des gens sur le forum qui parle de sa concernant windows update qui est bloqué avec squid.
Et qu'il faut mettre les liens de windows update dedans.
par contre sur la doc il parle de ceci :

refresh_pattern ([^.]+.|)(download|(windows|)update|).(microsoft.|)com/.*.(cab|exe|msi|msp) 4320 100% 43200 reload-into-ims;
range_offset_limit -1;

A mettre dans les custom options.

Quel est ton avis à se sujet ?

chris4916

Pour apporter une petite précision technique car la confusion est souvent faite:
Ce n'est pas WPAD qui permet de définir ce qui passe par le proxy et ce qui n'y passe pas.

WPAD, c'est, derrière le protocole qui le défini, Web Proxy Automatic Discovery, donc le protocole de découverte automatique du proxy(.pac)
C'est le proxy.pac qui permet de contrôler le comportement du browser qui s'appuie dessus mais il est aussi utile de comprendre qu'il y a beaucoup d'environnements qui utilisent un proxy.pac sans jamais mettre en œuvre WPAD. Par exemple lorsque le proxy.pac est poussé par GPO.

jdh

@chris4916:

Pour apporter une petite précision technique car la confusion est souvent faite …

Comme à l'accoutumée … MOI , qui suit un spécialiste, je vais vous apprendre ... et qui jamais ne précise les (sérieuses) LIMITES de ce qu'il annonce !!

L'administrateur système (débutant) d'une petite société, qui fait (trop) confiance aux SOLUTIONS Microsoft, a les yeux qui brillent dès qu'il entend 'GPO' ...

Pourquoi GPO est limité : (je l'ai déjà écrit mais puisque certains ne retiennent rien)

• ne fonctionne QUE dans le cas d'un domaine Windows (serveur contrôleur de domaine, ...)
• ne fait QUE configurer le PC : W7 : Windows > Panneau de config > Réseaux > Options Internet; ou W10 : Windows > Paramètres > Réseau > Proxy
• ne configure QUE IE, Edge et Chrome (parce qu'ils s'appuient sur la conf proxy du pc Windows)
• fait ne pas fonctionner les portables hors de l'entreprise : j'ai un portable au bureau, je le rapporte chez moi et, bim, internet ne fonctionne pas !
  (très sympa d'expliquer : quand t'es chez toi, il faut que tu décoches ...)

Pourquoi WPAD est bien plus universel :

• fonctionne pour domaine windows OU non (les workgroup à la maison ...)
• fonctionne pour TOUS les navigateurs : y compris Firefox
• fonctionne pour des PC Linux, des terminaux ou raspberry avec navigateur Chromium, ...
• fonctionne pour les PC invités (dans un Wifi Invite)
• fonctionne aussi pour le portable du bureau rapporté à la maison : plus sympa de dire : quand tu es chez toi, ça fonctionne !

Bref, mettre en place WPAD, ce qui est assez simple (si on a les bonne pistes), est incontestablement une solution plus UNIVERSELLE.

NB : Firefox est juste gênant : il faut cocher une config qui n'est pas celle par défaut.

Et puis, quand on cherche 'pfsense wpad', on a

• premier lien : la doc pfsense pour activer wpad depuis le pfSense (et franchement c'est pas trop compliqué)
• deuxième lien : un fil avec un post 'tuto' sur WPAD (par ... votre serviteur, et déjà ... bien pollué par 'je veux indiquer une solution LIMITEE')

MARRE de Chris ...

chris4916

Peut-être aveuglé par un combat qui n'a pa leiu d'être, tu ne lis pas correctement ce que j'ai écrit:

je ne dis pas qu'il faut pousser le proxy.pac via GPO (ni qu'il ne faut pas le faire d'ailleurs) mais je précise que les règles d'accès au proxy sont portées par le proxy.pac et non pas par WPAD qui n'est que une des manières d'automatiser l'accès au proxy.pac

Pour ce qui est du choix WPAD vs. GPO… je te laisse avec tes certitudes.
Mais là encore, ne te trompe pas dans ta précipitation de lutter contre mon argumentaire. Je suis un grand fan de WPAD  ;)  et tu n'es pas le seul à écrire des tutos https://wiki.zentyal.org/wiki/Select_Right_HTTP_Proxy_Design mais dans la vraie vie des grands comptes et de beaucoup de PME que tu aimes prendre en exemple lorsque ça sert ton propos, l'approche "via GPO" est très très souvent mise en œuvre.

A Former User

Je ne vais pas avoir le choix concernant le site 2.
Je n'ai pas de serveur sous windows.
C'est un domaine sous Samba que j'ai paramétré.
les pc sont sous windows mais pas le serveur de fichiers et de messagerie.

Seul le site 1 sans proxy à des serveurs windows.

jdh

Je ne lirais pas correctement ? Mais c'est l'hôpital qui se moque de la charité …
Pourquoi tenez-vous absolument à préciser EXACTEMENT ce que j'ai écrit plus haut (de façon CLAIRE) :
@jdh:

WPAD, par définition, fournit un script 'javascript' qui, en fonction d'une URL, retourne soit 'DIRECT' soit 'PROXY:xxxx:xxx'.

(j'ai écrit 'fournit', j'aurais pu écrire 'fait trouver' mais c'est le sens.)

Je suis intervenu, récemment, sur un site du groupe, site de 300 personnes, où était en place une GPO pour fixer le proxy.
J'ai expliqué WPAD, mis en place le nouveau proxy, créé les fichiers proxy.pac, et la GPO a été supprimée … à la satisfaction de tous.

Utilisez une GPO pour CE sujet est une idée TRES moyenne parce que mettre WPAD n'est pas plus compliqué et fait PLUS.
En particulier, je trouve très STUPIDE d'avoir à expliquer aux utilisateurs de portables pros qu'ils doivent, pour travailler chez eux, de déconfigurer (et le refaire à chaque fois) !
Le bel argument de 'c'est fait souvent' ...

Maimonide : Donne un poisson à un homme, il mangera un jour. Apprends-lui à pêcher, il mangera toute sa vie.
On n'est pas dans la même catégorie ...