pfsense squid/squidguard dhcp pas d'accès internet pour poste windows

stef75019

complément config

stef75019

personne n'a d'idée apparemment ...

chris4916

Je ne sais pas si c'est un manque d'idée mais, en tous cas de mon pont de vue, c'est compliqué.
Je ne suis pas arrivé à aller plus loin que ton premier poste que je ne comprends déjà pas, et lire la tonne de copie d'écran que tu fournis ne va probablement pas aider.
Tn montage avec un switch entre la box et pfSense auquel sont connectés les utilisateurs me parait inutilement compliqué et je ne comprends les contraintes qui sont derrière et qui justifient ce design.
Ensuite, le message d'erreur DNS introuvable signifie que ton proxy fonctionne en mode transparent, donc uniquement en HTTP et pas HTTPS sauf à faire du SSL Bump.

Bref, il y a plein d'info, peut-être même trop, je ne sais pas trier mais en tous cas pas de quoi se faire, pour moi du moins, une idée simple de la problématique et des contraintes qui imposent un design si "surprenant".

stef75019

@chris4916 c'est notre architecture d'entreprise qui veut cette architecture
la présence d'un switch est d'une part plus souple pour faire les différent vlan défini sur chaque port du switch
et d'autre part, la box et le serveur pfsense étant très éloigné l'un de l'autre il est difficile de tirer un cable direct

nous souhaitons faire du proxy transparent car la box est en accès libre pour nos utilisateur via, pour 90% des cas, de leur propre devices personnel. Donc nous ne pouvons pas nous permettre une authentification proxy.

ensuite l'accès libre à internet se fait par le vlan 400 exclusivement
et pour renforcer la sécurité nous avons souhaiter mettre la box et la carte wan de pfsense dans un autre vlan 520
d'autre vlan son défini pour le réseau d'entreprise ou l'accès à internet s'en trouve plus restreint

merci tout de meme d'avoir apporté des éléments de réponse

stef75019

stef75019

et j'ai suivi ce tuto

https://www.pc2s.fr/pfsense-proxy-transparent-filtrage-web-url-squid-squidguard/

ccnet

Votre architecture n'est pas adaptée pour fournir un niveau de sécurité acceptable. Une bonne pratique élémentaire, pour commencer, est qu'un équipement réseau (en dehors de ceux conçu pour cela : un firewall par exemple) ne doit pas traiter des flux ayant des niveaux de confiance différents. Ici c'est le grand écart. Finalement votre firewall ne sert à rien, votre protection périmétrique repose sur un Vlan. C'est mince.

reconfiguration de l’adressage ip de la box sfr en 192.168.0.1

C'est aussi plutôt une mauvaise idée, tout comme l'usage de 192.168.1.0/24.

stef75019

bonjour à tous

bon décidément je commence à m'y perdre en suivant tous les tutos que je trouve, il y a toujours certain qui coche des options d'autre pas...
au final je ne vois meme plus les sites visités dans squid moniteur temps réel...

j'ai refais une conf d'usine, la carte wan en dhcp (192.168.1.32), la carte lan en ip fixe (192.168.1.10)
dhcp pfsense aucun
squid, squidguard et lightsquid sont installés
tout est configuré en standard

avez vous un tuto pour me guider je commence à m'y perdre à force de jouer avec tous les paramètres

merci d'avance

jdh

Et la carte WAN et la carte LAN dans le même réseau, ça ne vous dérange pas ?
Pas mieux que ccnet !

Si c'est un proxy que vous voulez, ce serait plus efficace de partir d'une simple Debian et de configurer les fichiers de conf à la mano (mais inspiré de ceux du pfsense !) ...

Ce qui se conçoit bien, s'énonce clairement
Et les mots pour le dire viennent aisément
(Nicolas BOILEAU)

Ce que l'on comprend bien, s'installe simplement
Et les fichiers de conf s'écrivent aisément ...
(version pour l'informatique ...)

stef75019

si
mais il faut impérativement garder l'adressage tel qu'il est coté lan car certain devices tel que des hotspots wifi ont des conf en ip fixe (meme pas de résa d'ip dans le dhcp)
et que lorque je met une autre adresse pour la carte wan tel que 192.168.2.5 par exemple, et en modifiant l'ip de la box sfr en 192.168.2.1 pour que les deux puissent communiquer ça ne fonctionne pas
pourquoi? car la box sfr est dans un vlan 400 et ce vlan se trouve en 192.168.1.x/24
et qu'en définissant un nouveau vlan, 520 par exemple, plus rien ne fonctionne

j'avais pensé à une debian avec squid
mais pfsense avait l'air plus simple car moins de manip sur les fichiers de conf...

donc pour faire déja au plus simple, on a gardé le vlan 400 partout

ccnet

Je comprend mal cet entêtement avec une solution qui ne marche pas et qui n'est vraiment pas sûre.

et pour renforcer la sécurité nous avons souhaiter mettre la box et la carte wan de pfsense dans un >autre vlan 520
d'autre vlan son défini pour le réseau d'entreprise ou l'accès à internet s'en trouve plus restreint

L’élément de base d'une segmentation réseau ne saurait être l'usage de Vlan. C'est d'abord une question d'architecture liée au firewall. Les Vlans ne venant qu'ensuite pour partager les supports physiques. Dans votre cas vous devriez ne pas avoir besoin de Vlan.

nous souhaitons faire du proxy transparent car la box est en accès libre pour nos utilisateur via, pour 90% des cas, de leur propre devices personnel. Donc nous ne pouvons pas nous permettre une authentification proxy.

Cette solution n'est pas défendable par rapport aux obligations réglementaires. En cas de problème, le représentant légal est pénalement responsable et le restera dans votre cas.