Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Vlans + Proxy NO Transparente + Multi DHCP

    Scheduled Pinned Locked Moved Español
    25 Posts 4 Posters 4.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fabshdz
      last edited by

      Hola que tal,

      He estado viendo algunos manuales para la configuración de WPAD, pero la verdad nunca lo he hecho y estoy algo confundido.

      Empezando con el hecho de que los manuales explican como hacerlo con una sola LAN, o al menos eso entendí.

      Alguien me puede apoyar con esto o darme algún manual ??

      mi Pfsense trabaja de la siguiente manera

      Dos WAN –-> PFsense ->> VLANS (1 sola tarjeta para redes internas)

      *Cada VLAN tiene su DHCP
      *Hasta el momento, solo una de las VLAN es la que tiene el proxy configurado, ya que son los únicos equipos que puedo entrar a configurar el proxy. El resto de equipos son móviles.

      El entorno es una escuela.

      Gracias! :)

      1 Reply Last reply Reply Quote 0
      • D
        DaLiCaM
        last edited by

        Imagino que tus Vlans salen del pfsense a un switcher layer3 (configurable).

        1 Reply Last reply Reply Quote 0
        • F
          fabshdz
          last edited by

          Hola!, gracias por contestar..

          En efecto… Anexo Diagrama

          ![DIAGRAMA GENERAL - Page 1.png](/public/imported_attachments/1/DIAGRAMA GENERAL - Page 1.png)
          ![DIAGRAMA GENERAL - Page 1.png_thumb](/public/imported_attachments/1/DIAGRAMA GENERAL - Page 1.png_thumb)

          1 Reply Last reply Reply Quote 0
          • D
            Danixu86
            last edited by

            Hola,

            ¿Qué buscas hacer exactamente?, porque si estás usando el squid como proxy http lo puedes configurar en modo transparente y ya no necesitarías configurar el proxy utilizando WPAD (yo lo tengo así).

            Un saludo.

            1 Reply Last reply Reply Quote 0
            • F
              fabshdz
              last edited by

              Gracias por contestar Danixu86

              Efectivamente, así lo había hecho en un principio, el detalle es que el modo transparente no tiene la capacidad de filtrar https, y si lo activas tienes que generar un certificado el cual da ciertos errores, por otro lado, también tienes que instalar el certificado en cada computadora, tablet, ipad, etc…

              Por lo tanto lo mejor es tener el proxy NO trasparente, pero que cada computadora que se conecte, detecte automáticamente el proxy (WPAD).

              Logrado ese punto, podré filtrar https por grupos de VLANS y usuarios que es lo que finalmente quiero lograr.

              Pero primero... propagar el proxy de manera automática.

              Saludos y gracias nuevamente por su apoyo

              1 Reply Last reply Reply Quote 0
              • D
                DaLiCaM
                last edited by

                Algo que podría ayudarte ==> Aqui

                1 Reply Last reply Reply Quote 0
                • F
                  fabshdz
                  last edited by

                  Si de hecho estaba viendo esa página…

                  Mi duda es.. si tengo varias VLANS, tendré que usar VirtualHost eh el servidor HTTP para cada una y crear un archivo de configuración para cada segmento ?

                  1 Reply Last reply Reply Quote 0
                  • D
                    Danixu86
                    last edited by

                    Hola,

                    Me temo que el tema de WPAD no lo he tocado, pero se ve interesante. Siempre se aprende algo nuevo jejeje.

                    En este post están hablando del tema, y se ve un ejemplo de configuración para varias redes (que supongo que sería lo que tu tienes con las VLAN):
                    https://forum.pfsense.org/index.php?topic=74353.0

                    Si tengo tiempo lo miraré un poco, porque la verdad es que es interesante por lo del HTTPS que dices. En mi caso no tengo VLANs, pero tengo varias LANs a través de varias tarjetas de red (que es prácticamente lo mismo).

                    Un saludo.

                    EDIT:

                    He estado un rato tocando el tema del WPAD y he conseguido configurarlo para que funcione en una de mis redes sin necesidad de crear un vHost. Simplemente añades una entrada al DHCP indicando la dirección del WPAD y listo. Junto con el ejemplo del post que te he enviado arriba se ajusta a la red en la que estés.
                    He probado con IE, y Chrome respetan la configuración del WPAD por DHCP, pero parece ser que los de Firefox están un poco pasivos…

                    Seguiré probando, porque lo mismo la entrada del vHost sirve para los negados como el Firefox  ;D

                    1 Reply Last reply Reply Quote 0
                    • F
                      fabshdz
                      last edited by

                      Excelente busqueda Danixu86!

                      Lo voy a revisar detenidamente e intentaré traducirlo..

                      Ya casi llego al momento de hacer las pruebas…

                      1. Casi termino con la instalación de tuberías y canaletas.
                      2. Sigo al Cableado
                      3. Instalación de Switches y VLANS
                      4. Configurar Proxys con WPAD para cada VLAN

                      Muchas gracias por tu ayuda

                      1 Reply Last reply Reply Quote 0
                      • D
                        Danixu86
                        last edited by

                        Me alegro de que te sirviera ;)

                        Al final he dejado de mirarlo porque el IE y el Chrome lo respetaban, pero sin embargo el Windows y el Firefox lo ignoraban (tiene narices que el IE lo coja y el Windows no…).

                        En fin, puede que siga mirando algún día por el tema del SquidGuard y HTTPS, ya quen he visto que cuando utilizas este método, el HTTPS simplemente pasa por un túnel por lo que no da problemas de certificado pero al pasar por el squid es posible filtrarlo con squidguard.

                        Un saludo.

                        1 Reply Last reply Reply Quote 0
                        • F
                          fabshdz
                          last edited by

                          bueno pues traigo un relajo con mi pfsense… ya le he movido tantas cosas que creo que lo he trabado... :(

                          funciona con muchas interrupciones... los navegadores continuamente me dan errores de TIMEOUT, o de DNS...

                          Estoy intentando usar el DNS Resolver...

                          Sin embargo creo que también algo en las reglas del firewall la estoy regando

                          Creo que hoy borro todo y vuelvo a empezar  :'(

                          entre el Firewall, DNS, VLANS, WPAD, Balanceo de WANs ya no sé que pasa ....

                          1 Reply Last reply Reply Quote 0
                          • J
                            juancho
                            last edited by

                            Amigo el WPAD puedes configurarlo usando dhcp y usando dns, que pasa, hay navegadores que con el dhcp lo toman y otro con el dns.. mi configuración es la siguiente.

                            que pasa, hay navegadores que usan . dat, otros .pad, es mejor usar esos tres archivos.. vale destacar que ese archivo debe estar en una http que sea alcanzable por todas las subredes
                            En tu DNS debes configurar el servicio como se muestra en la figura, Luego en los navegadores  tildas detectar proxy y resuelves

                            Mi archivo wpad

                            function FindProxyForURL(url,host)
                            {
                            if (shExpMatch(host, "*.tu_dominio"))
                            {
                            return "DIRECT";
                            }

                            if(isInNet(host, "172.31.88.0", "255.255.252.0"))
                                  {

                            return "DIRECT";

                            }

                            return "PROXY 192.168.2.2:3128";
                            }

                            –
                            Juan Carlos Reyes
                            Powered by Debian
                            o
                            L_/
                            OL

                            1 Reply Last reply Reply Quote 0
                            • F
                              fabshdz
                              last edited by

                              Hola

                              Gracias por la ayuda…

                              Si me a quedado más claro pero aún con dudas, tomando de ejemplo tu código, sería algo así lo que debo hacer ??

                              function FindProxyForURL(url,host)
                              {
                              if (shExpMatch(host, "*.tu_dominio"))  <--- puedo usar localdomain ?? o escuelaXYZ
                                {
                                    return "DIRECT";  <--- Al poner la palabra DIRECT, quiere decir que va a regresar el PROXY por defecto que supongo es el de abajo?
                                }

                              if(isInNet(host, "172.31.88.0", "255.255.252.0"))  <--- Por lo que entiendo debo poner uno de estos bloques iF por cada subred o vlan no?
                                    {

                              return "DIRECT";

                              }

                              return "PROXY 192.168.2.2:3128";
                              }


                              Con lo que el código podría quedar algo así....

                              function FindProxyForURL(url,host)
                              {
                              if (shExpMatch(host, "*.ejemploXYZ"))
                                {
                                    return "DIRECT";
                                }

                              if(isInNet(host, "172.31.88.0", "255.255.252.0"))
                                    {

                              return "DIRECT";

                              }
                                      if(isInNet(host, "192.168.4.0", "255.255.252.0"))
                                    {

                              return "DIRECT";

                              }
                                if(isInNet(host, "192.168.15.0", "255.255.252.0"))
                                    {

                              return "PROXY 192.168.15.1:3128"; <--- Puedo hacer esto si quisiera ???

                              }

                              return "PROXY 192.168.2.2:3128";
                              }

                              Gracias por su tiempo y su ayuda

                              1 Reply Last reply Reply Quote 0
                              • J
                                juancho
                                last edited by

                                Cuando haces el direct, le indicas que no pase por el proxy, esto lo hago para no hacer cache de los servicios internos, como servidores de impresion, intranet, etc… al final cuando hacer return proxy ... todo el trafico que no esta con la opcion direct pasa por el proxy...

                                P.D puedes exonerar los dominios que quieras para que no pasen por el proxy con la directiva direct

                                Saludos

                                –
                                Juan Carlos Reyes
                                Powered by Debian
                                o
                                L_/
                                OL

                                1 Reply Last reply Reply Quote 0
                                • F
                                  fabshdz
                                  last edited by

                                  Ok…

                                  he puesto este código en mis archivos

                                  function FindProxyForURL(url, host)
                                  {
                                  if (isPlainHostName(host) ||
                                          shExpMatch(host, "*.local") ||
                                          isInNet(dnsResolve(host), "192.168.14.0", "255.255.255.0") ||
                                          isInNet(dnsResolve(host), "192.168.15.0", "255.255.255.0") ||
                                          isInNet(dnsResolve(host), "192.168.16.0", "255.255.255.0") ||
                                      )
                                          return "PROXY 192.168.9.1:3128";
                                  }

                                  solo hice el proxy.pac y cree dos enlaces simbólicos de los wpad.dat y el wpad.da hacia el proxy.pac

                                  cuando abro el navegador me responde para descargar los archivos pero.... me marca error en los certificados CA...

                                  Debo tener los CA para usar WPAD ??

                                  Los archivos los coloque en /usr/local/www, está bien así ??

                                  estoy intentando configurarlo por DNS

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    juancho
                                    last edited by

                                    pues sinceramente, nunca me ha dado problemas con certificados, de hecho nunca configuré certificados en el mio…estas usando squid3 para trafico https??

                                    –
                                    Juan Carlos Reyes
                                    Powered by Debian
                                    o
                                    L_/
                                    OL

                                    1 Reply Last reply Reply Quote 0
                                    • F
                                      fabshdz
                                      last edited by

                                      Hola de nuevo, muchas gracias por tu tiempo… te iré poniendo pantallas de lo que tengo puesto... tal vez algo estoy poniendo de más o de sobra...

                                      Mañana inicio a ponerte las pantallas

                                      Saludos

                                      1 Reply Last reply Reply Quote 0
                                      • F
                                        fabshdz
                                        last edited by

                                        Bueno, aquí dejo las pantallas de la configuración que tengo de Squid y las reglas de FW de la VLAN CC

                                        que le ven de raro???

                                        lo que quiero lograr es el WPAD

                                        Gracias y saludos

                                        SG_1.PNG
                                        SG_1.PNG_thumb
                                        SG_2.PNG
                                        SG_2.PNG_thumb
                                        SG_3.PNG
                                        SG_3.PNG_thumb
                                        SG_4.PNG
                                        SG_4.PNG_thumb
                                        SG_5.PNG
                                        SG_5.PNG_thumb
                                        fw_rules_CC.PNG
                                        fw_rules_CC.PNG_thumb

                                        1 Reply Last reply Reply Quote 0
                                        • J
                                          juancho
                                          last edited by

                                          como tienes configuradas las opciones extras en el dhcp??

                                          –
                                          Juan Carlos Reyes
                                          Powered by Debian
                                          o
                                          L_/
                                          OL

                                          1 Reply Last reply Reply Quote 0
                                          • F
                                            fabshdz
                                            last edited by

                                            hasta ahorita no le he puesto nada…

                                            Pero creo que te refieres a la parte donde le pones el 252 tipo TEXT y la dirección de cada uno de los archivos .pac, .dat y .da

                                            es eso?

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.