IPSE, Squid y proxy transparente



  • Buenos dias,

    He estado configurando 2 PFSense v2.3.1_1 en arquitectura site-to-site con Squid en la oficina B para que la Oficina A tenga acceso a Internet a través de la Oficina B. He instalado y configurado Squid en modo transparente en la Oficina B y funciona correctamente para los clientes LAN de la oficina B, sin embargo el Squid deja pasar los paquetes de la LAN de la Oficina A, conexion IPSEC, a internet sin filtrarlos.

    Ambas oficinas se encuentran con diferentes proveedores de Internet, la idea de todo esto es poder controlar el acceso a Internet desde un sólo PFSense. Sin embargo no me está funcionando en este momento.

    Alguien sabe que parametros debo modificar para que el Squid filtré tambien el trafico de la Oficina A?

    Muchas gracias por la ayuda.

    Alexis Rondon



  • Hola,

    Logré hacer que SQUID filtrara el trafico tanto de la oficina A como de la oficina B. El problema que tengo ahora es que en los PC de la oficina A debo cambiar la configuracion proxy de los navegadores a pesar de que el SQUID está configurado Transparente.

    Alguien ha realizado este tipo de configuraciones?

    Gracias



  • Buen día

    Si estás uniendo las 2 oficinas con una VPN a través de un canal de internet no dedicado, no te recomiendo que una oficina navegue a través del internet de la otra, puesto que los temas de la latencia pueden afectar la navegación de los usuarios en la sede remota, la VPN site to site, es recomendable para servicios básicos como file server, acceso a aplicaciones, bases de datos y si hay telefonía IP por mucho 2 extensiones, incluso cada sede debe tener su DNS, DHCP, proxy  y si es posible controlador de domino, para lo que quieres te recomiendo que montes servicios independientes, ya que si se cae el internet de la sede principal, la sede remota queda sin servicios internos ni internet.

    Saludos



  • Gracias por tu respuesta Aleximper,

    El internet en la sede principal en dedicado, 100% estable. Ahora en la oficina remota es diferente, el internet no es dedicado y pueden ocurrir los problemas que indicas.

    Por ahora me gustaría probar este escenario, pero el tema de modificar la configuracion del proxy en el navegador me limita un poco.

    Alexis Rondon



  • Buen día

    Según  lo que dijiste en el anterior post, el de la sede principal es dedicado pero el de la sede remota no, insisto en lo de los problemas, te recomiendo proxy no transparente, puesto que el transparente con https presenta muchos problemas, y si no unas filtrado https los clientes se saltarán fácil el proxy. Sé que el proxy no transparente es engorroso, pero se puede valer de wpad o de una GPO de active directory para hacer más fácil esa labor, tengo varios escenarios montados así como te digo y funcionan muy bien.

    Saludos



  • Hola disculpen la molestia , Pfsense hace cache de paginas HTTPS , especialmente Youtube ???

    Gracias



  • Buen día

    Si, a través de Squid, usando caché para contenido dinámico, busca en el foro la documentación.