Nat/Pat + proxy authentification
-
Bonjour,
Si j'ai bien compris, le besoin est de pouvoir choisir un point de sortie VPN via le choix du proxy dans le LAN en ayant une authentification LDAP ?
Etes-vous sur du virtuel ou physique ?J'aurai une solution un peu différente et plus lourde... mais qui fonctionne.
Une VM dans entre le lan/DMZ qui fait office de pare-feu et proxy pour l'authentification.
Cette meme VM est configurée pour utiliser le proxy de votre pare-feu qui monte le tunnel depuis DMZ.
Répétez l'opération autant de fois que de points de sorties.Suivant le nombre de tunnel VPN cela peut faire quelques VM...
En esperant avoir aidé.
@jdh
@ccnet
Vous etes d'une affligeante inutilité, d'une incroyable arrogance et je comprends pourquoi plus personne ne post dans le forum FR s'il n'y a que des gens comme vous qui y repondez.Bien cordialement.
Arnaud.
-
Mon frère (ingénieur de formation) et quelques cousins (idem) sont passionnés de voitures anciennes. A l'instar des mécanos de garage, ils écoutent, observent les voitures, finissent par démonter une pièce ou deux, les teste, les remonte, changent une durite ou un câblage, et poursuivent jusqu'au redémarrage. C'est un beau spectacle, dont je ne suis pas, hélas, capable.
L'informatique, les réseaux, les firewall sont identiques : si vous ne voyez par la pièce qui empêche le fonctionnement, ou pire ne le comprenez pas, vous n'avez aucune chance de le rétablir !
'Si j'ai bien compris' : comme vous avez raison de commencer par cette 'précaution oratoire' ! Moi, je pose la question !
Moi je demande à comprendre, et l'auteur refuse de décrire EN FRANCAIS ce qu'il veut faire, croyant que les lecteurs sont capables de comprendre avec juste un schéma et des réglages (pas complètement définis). Je redemande, et je ne suis pas seul à ne pas comprendre ...
Vous avancez une solution ... à partir d'un besoin imaginé, c'est très audacieux !
'le besoin est de pouvoir choisir un point de sortie VPN via le choix du proxy dans le LAN' vous avez le mérite d'écrire en français (sans noyer l'info sous des réglages.
Mais rien ne vous permet d'imaginer que le besoin soit celui là !!
Au contraire, le schéma fourni est pourtant clair :
- il n'y a qu'un seul point de sortie (à droite de l'image), en non plusieurs,
- il n'y a aucune référence à un VPN : le pfsense/proxy2 serait en DMZ, donc local (sinon il y aurait eu une nuage ...)
Moi, je ne fais pas d'hypothèses, sur un schéma justement rédigé en connaissance de cause, car moi ou d'autres serions sûr de se tromper !
De facto, je crains que vous soyez à côté du problème et, partant, votre solution risque de ne pas correspondre. (Sans compter qu'elle n'est pas extrêmement claire : une VM, qui fait office de pare-feu et proxy, qui serait configurée pour utiliser un autre proxy : comment ???)
Considérer qu'il est inutile de demander plus d'explication, est pitoyable et le plus sur moyen de repousser toute bonne volonté.
Ca c'est de la pure arrogance signé 'génération Y ou Z' : que ferez vous quand vous aurez découragé tout le monde ?
-
@dutarn said in Nat/Pat + proxy authentification:
Vous etes d'une affligeante inutilité, d'une incroyable arrogance et je comprends pourquoi plus personne ne post dans le forum FR s'il n'y a que des gens comme vous qui y repondez.
Lorsque vous aurez solutionné autant de problèmes posés que nous dans les 8 ou 10 ans passés sur ce forum, y compris dans sa forme précédente, nous en reparlerons.
-
Merci d avoir repondu,
Il y a un peu de cela, J ai un netgate entre le lan et la dmz donc pas possible de virtualiser,
je peux rajouter des vm dans le lan qui feront office de proxy pour authentif mais ca va faire beaucoup de vm... -
Que tout cela est pitoyable !
'Il y a un peu de ça'
'J'ai un Netgate entre LAN et DMZ"(Au passage, il n'y a pas de VPN ...)
Toujours dans la même ligne que 'Je ne peux pas être plus clair' !!
Ah oui il t a des choses que vous expliquez maintenant et que vous n'avez pas pensé nécessaire et utile d'en parler plus tôt !!!
'Un peu de ça' et même pas foutu de compléter, ça monte pas au cerveau !!! On croit rêver ... Non mais allo, quoi ??Vous êtes des branquignoles, tant l'un que l'autre !
- je ne dis pas tout ni ne suis capable d'écrire un besoin en simple français et, bien évidemment, je ne mentionne pas tout car "ce n'est pas utile',
- j'interdis aux autres de poser des questions et je les juge arrogant alors même que je viens juste de m'inscrire et n'ai jamais aidé qui que ce soit et sur quoi que ce soit..
Bref des bricolos de première. Démerdez vous ... A tchao et pas 'au revoir'
Ceux qui veulent véritablement une aide sont, eux,
- capables de décrire leur besoin (parce que sans besoin, il ne peut rien arriver),
- et n'insultent pas ceux qui peuvent les aider ...
(Je voulais écrire des 'peintres' mais un peintre ferais mieux que vous ...)
-
@jdh
blablablabla vous me faites rire a parler dans le vent
cela dit, je suis très content pour vous que vous ayez des amis mécaniciens, bravo 
"Sans compter qu'elle n'est pas extrêmement claire : une VM, qui fait office de pare-feu et proxy, qui serait configurée pour utiliser un autre proxy : comment ???"
J'imagine que c'est ironique sinon il est grand temps d'arrêter l'informatique (ou de commencer à s'y mettre dans votre cas).J'adore votre utilisation de citations alors que tout le monde s'en fou royalement, je trouve cela assez drôle et révèle une partie de votre personnalité.
"ouai je cite Einstein je suis trop un ouf je me sens trop intelligent! " Manque de confiance en sois ou ego surdimensionné ? dans les 2 cas il faut aller consulter, c'est un tantinet pitoyable.
Pour vous résumer : pathétique, mais le pathétique comique, qui fait rire.
Au plaisir de vous revoir.Bref,
https://hub.docker.com
Vous pouvez utiliser un docker pour utiliser plusieurs proxy sur la même machine.
Puis modifier la configuration de chaque container pour pointer vers vos proxy en DMZ (oui oui c'est possible).
Squid fonctionne très bien dans ce type d'utilisation.Bien cordialement.
Arnaud.
-
J'avais écrit 'audacieux', j'étais (très) en dessous de la réalité.
Pas même capable de bien lire trois posts, pas même de bien interpréter un (pourtant très sommaire) schéma, vous délivrez votre analyse, vos solutions (décrites en 3 phrases). Et vous insultez d'autres participants (ils sont inscrits depuis plus de 10 ans et avec plus de 5500 posts à eux deux), et, puisque c'est votre autre compétence, vous livrez une (fine, subtile, toute en nuances) analyse psychologique.
Bim 'il y a un peu de ça'
Pas même capable de revenir à un peu de modestie ... Mais rien ne vous arrête ...
Comme aurait dit le regretté Coluche (sur les 'milieux autorisés') : 'quand on en connait autant on serait autorisé à fermer sa gueule ....
Je pense aussi à ce grand film où on parle du regretté Jacques Villeret à Thierry Lhermitte :
- J'en tiens un
- Comment est-il ?
- Un champion du monde
(La chanson titre de Georges Brassens est formidable.)
(On ne peut pas encore juger : vous n'êtes qu'à 2 posts en 1 journée d'inscription sur ce forum, mais quels posts !)
(Curieux duo, on pourrait se poser des questions, mais branquignoles c'est certain.)
-
Et bien et bien, encore un post ou la moité des phrases ne sont pas de vous
, bientot vous allez parler de vous a la 3em personne que cela ne m'etonnerai pas 
.Je vois que vous etes un habituer de ce genre de commentaires, inutiles, prétentieux, seul maitre a juger si un post est bien présenté ou non, sans jamais réelement aider. 2300 commentaires de merde ca doit user, en fait, vous êtes juste bête.
Au top ! Changez rien !
Je souhaite bon courage a la communauté FR avec ce type de personne.
Bien cordialement.
Adios amigos
Arnaud -
@dutarn Bon et après avoir lu péniblement tout le fil, c'est quoi le besoin à la base ?? (commençons par le début, exprimer le besoin)...
Je vais l'exprimer en français qui sera surement compris:
"Le monsieur, y veut faire quoi avec ses 2 pfSense ??"
-
MisterMagoo :
Tu as du mal à lire, cela n'est pas surprenant :
- ce fil a été initié par @jeanvaljeanjord : incapable de décrire en français son besoin, mais répétant des réglages qui ne peuvent rien expliquer
- un participant est @dutarn : a commencé par écrire en français et proposé une (très) vague idée et ne cesse d'insulter ccnet et moi (faute d'arguments).
Il est notable que ces 2 pseudos se sont inscrits pour ce fil et n'ont pour seuls posts ceux-ci. (Je ne suis pas certain que ce soit 2 profils vraiment distincts ... mais un modérateur devrait aisément le détecter.)
Je te laisse répondre au plus excité (et stupide), en particulier concernant mes posts depuis 10 ans. En même temps, il suffit de lire un autre fil de la semaine, initié par un vrai débutant sur les VLAN, pour voir la réalité (et non l'affligeante mauvaise foi et le caractère mal élevé du dernier). Hélas la modération est toujours aussi (incroyablement) absente sur le forum français ...
Toi aussi, tu ne comprends pas le problème et l'absence (du quart de la moitié du début) d'une description ? Qu'elle arrive serait une surprise totale ! Donc n'attends pas trop ...
-
Je n'ai aucun besoin je me contente de répondre a @jeanvaljeanjord
Quand je lis cela :
PC 1 -> authentification proxy 1 port 3128 -> transparent proxy 2 port 3150
Cela ressemble quand meme fortement à du chainage proxy, voila pour j'ai proposé cette solution, peut etre fausse (pas de retour) mais au moins quelque chose est proposé, et pas seulement "en francais ?" "j'ai rien compris".Un peu de modéstie et d'humilité ne seraient pas de trop Mr @jdh, mais on dirait que ces mots sont inconnus de votre vocabulaire, prenez vous en a la modération, bravo, ne changez rien.
Quant à la possibilité du même profil...
Mais vous avez raison, les modérateurs feront leur job. -
Bonjour,
Je ;e suis penche sur les docker, c est pas mal en effet !
j ai pu sur une seule vm mettre plusieurs containers "proxy" pour aller taper sur ceux de la dmz.
Me reste a faire pareil pour la dmz. De ce que j qi pu lire , pfsense sous docker cq marchent pas top..
Merci en tout cas.Sujet clos avant que ca ne degenere plus.
