Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Erreur Outlook - Pfsense squid

    Scheduled Pinned Locked Moved Français
    5 Posts 3 Posters 689 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      Nemesis-f
      last edited by

      Bonjour tout le monde,

      J'a mis en place un proxy sur mon pare feux pfsense et il s'avère que je rencontre quelques petits problèmes avec Outlook et outlook online. Aléatoirement j'ai des déconnexions et après quelques minutes elle revient.

      J'ai suivi ce tutoriel : https://www.pc2s.fr/pfsense-proxy-transparent-filtrage-web-url-squid-squidguard/

      Je ne sais pas comment débugger le problème !
      Merci à tous de votre aide.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Normal et logique !

        'J'ai suivi un tuto' ! Suivre un tuto sans en comprendre les idées est, forcément, un échec assuré !

        Ce tuto propose l'install d'un proxy sur pfSense avec le mode transparent et l'interception SSL (https) : tout pour avoir des échecs aujourd'hui (et demain).

        Je préconise un proxy non transparent et sans interception SSL, et idéalement hors de pfSense (proxy dédié).
        Cela offre d'immenses avantages :

        • simple à utiliser, grâce à WPAD
        • efficace : possibilité d'utiliser la liste de Toulouse
        • traite http et https (pour le refus d'accès)
        • honnête : présentation du certificat réel du site visité et non un certificat interne
          Cela présente pas ou peu d'inconvénients.
        • ne fonctionne pas sur certains android qui ne connaissent pas WPAD

        Un tel proxy fonctionne sans difficulté avec Outlook.com

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • N
          Nemesis-f
          last edited by

          Bonjour jdh,

          Effectivement j'ai des lacunes dans certains domaines en informatique et j'ai vu à mainte reprises que pfsense en tant que proxy n'était pas terrible.

          Pouvez-vous m'expliquer pourquoi avec pfsense ça ne fonctionne pas ?
          Des noms proxy que je peux utiliser et que vous me conseillé, nous sommes 30 salariés.

          Merci

          1 Reply Last reply Reply Quote 0
          • TataveT
            Tatave
            last edited by

            Salut salut

            Ce n'est pas un problème que cela ne fonctionne pas, mais que cela n'est pas des plus sécure et quelques soit la structure.

            D'autre part, je vous invite à vous documenter sur les bases d'usage et déploiement d'un proxy tel que squid pour ne pas le nommer.
            Et d'autre part, de comprendre le pourquoi du comment on utilise tel ou tel paramètre et pas tels autres.

            Une autre chose, ne pas suivre comme un mouton une howto quelqu'il soit sans comprendre et ni recopier bêtement les paramètres utilisés si non expliquer du pourquoi ils sont là.

            C'est la base de votre problématique et aussi 99% de la solution de celle ci.

            Nota je ne donne pas "La" réponse mais une approche de réflexion sur le sujet, et tenter de dépassionner le débat qui couve aussi.
            De même, vu votre taille (entreprise/users) vous avez aussi d'autre problématique, légal à prendre en compte je pense aussi à la cnil et les lois en découlant pour les sociétés ayant un cadre juridique hexagonale.

            Dans votre cas plus précisément, oui vous pouvez intégrer le plug in squid disponible avec pfsense, mais ne perdez pas de vue les informations et pistes que évoqué plus haut dans mon propos.
            Squid est un service qui est aussi gourmand en espace de stockage à long terme pour les log étant donnée les obligations, donc a penser dans le dimensionnent du serveur pfsense lui meme , voir redigirger ces log vers un autre storage pour annalyse (elastik search)

            aider, bien sûre que oui
            assister, évidement non !!!

            donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
            apprendre à un homme comment cuisiner, il sera vivre.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by jdh

              Bravo, connaitre et reconnaitre ses limites est le début de leur dépassement ! (Qui n'a pas de limites ? Pas moi.)

              Tatave donne un bon début de réponse : sensé et avec du sens.

              Un proxy basé sur de la transparence et de l'interception SSL est voué à l'échec.

              Un proxy transparent est un proxy non explicite : on passe dedans sans le savoir ! C'est très limité parce que cela ne fonctionne qu'avec HTTP, or la majorité des sites sont en HTTPS.

              L'interception SSL est destiné à faire du transprent en mode HTTPS. Pour ce faire, il faut 'casser' la sécurité SSL, le S du HTTPS, et par conséquent remplacer le certificat initial par un autre qui sera accepté par les micros internes : ceux ci accepteront n'importe quel certificat sans pouvoir vérifier le certificat d'origine, ce qui devrait être toujours fait ! De facto, il est impossible de vérifier la sécurité initiale du site, et bonjour les faux sites ! C'est très dangereux et menteur. De plus les sites HTTPS migrent vers un petit complément (HSTS) qui empêchera la casse !

              Je ne reviens pas sur la nécessité de disposer d'un proxy dédié au lieu de surcharger le firewall. Pour 30 utilisateurs, il est probable que vous avez un serveur virtualisé, alors une VM de plus ne devrait pas poser de problème. Réaliser un proxy dédié est instructif (mais exigent et ça rebute certains) : on peut partir d'une simple Debian Buster, installer Squid, SquidGuard, LightSquid, et s'inspirer des fichiers de conf de pfSense.

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 1
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.