Vlans + Proxy NO Transparente + Multi DHCP



  • Hola que tal,

    He estado viendo algunos manuales para la configuración de WPAD, pero la verdad nunca lo he hecho y estoy algo confundido.

    Empezando con el hecho de que los manuales explican como hacerlo con una sola LAN, o al menos eso entendí.

    Alguien me puede apoyar con esto o darme algún manual ??

    mi Pfsense trabaja de la siguiente manera

    Dos WAN –-> PFsense ->> VLANS (1 sola tarjeta para redes internas)

    *Cada VLAN tiene su DHCP
    *Hasta el momento, solo una de las VLAN es la que tiene el proxy configurado, ya que son los únicos equipos que puedo entrar a configurar el proxy. El resto de equipos son móviles.

    El entorno es una escuela.

    Gracias! :)



  • Imagino que tus Vlans salen del pfsense a un switcher layer3 (configurable).



  • Hola!, gracias por contestar..

    En efecto… Anexo Diagrama

    ![DIAGRAMA GENERAL - Page 1.png](/public/imported_attachments/1/DIAGRAMA GENERAL - Page 1.png)
    ![DIAGRAMA GENERAL - Page 1.png_thumb](/public/imported_attachments/1/DIAGRAMA GENERAL - Page 1.png_thumb)



  • Hola,

    ¿Qué buscas hacer exactamente?, porque si estás usando el squid como proxy http lo puedes configurar en modo transparente y ya no necesitarías configurar el proxy utilizando WPAD (yo lo tengo así).

    Un saludo.



  • Gracias por contestar Danixu86

    Efectivamente, así lo había hecho en un principio, el detalle es que el modo transparente no tiene la capacidad de filtrar https, y si lo activas tienes que generar un certificado el cual da ciertos errores, por otro lado, también tienes que instalar el certificado en cada computadora, tablet, ipad, etc…

    Por lo tanto lo mejor es tener el proxy NO trasparente, pero que cada computadora que se conecte, detecte automáticamente el proxy (WPAD).

    Logrado ese punto, podré filtrar https por grupos de VLANS y usuarios que es lo que finalmente quiero lograr.

    Pero primero... propagar el proxy de manera automática.

    Saludos y gracias nuevamente por su apoyo



  • Algo que podría ayudarte ==> Aqui



  • Si de hecho estaba viendo esa página…

    Mi duda es.. si tengo varias VLANS, tendré que usar VirtualHost eh el servidor HTTP para cada una y crear un archivo de configuración para cada segmento ?



  • Hola,

    Me temo que el tema de WPAD no lo he tocado, pero se ve interesante. Siempre se aprende algo nuevo jejeje.

    En este post están hablando del tema, y se ve un ejemplo de configuración para varias redes (que supongo que sería lo que tu tienes con las VLAN):
    https://forum.pfsense.org/index.php?topic=74353.0

    Si tengo tiempo lo miraré un poco, porque la verdad es que es interesante por lo del HTTPS que dices. En mi caso no tengo VLANs, pero tengo varias LANs a través de varias tarjetas de red (que es prácticamente lo mismo).

    Un saludo.

    EDIT:

    He estado un rato tocando el tema del WPAD y he conseguido configurarlo para que funcione en una de mis redes sin necesidad de crear un vHost. Simplemente añades una entrada al DHCP indicando la dirección del WPAD y listo. Junto con el ejemplo del post que te he enviado arriba se ajusta a la red en la que estés.
    He probado con IE, y Chrome respetan la configuración del WPAD por DHCP, pero parece ser que los de Firefox están un poco pasivos…

    Seguiré probando, porque lo mismo la entrada del vHost sirve para los negados como el Firefox  ;D



  • Excelente busqueda Danixu86!

    Lo voy a revisar detenidamente e intentaré traducirlo..

    Ya casi llego al momento de hacer las pruebas…

    1. Casi termino con la instalación de tuberías y canaletas.
    2. Sigo al Cableado
    3. Instalación de Switches y VLANS
    4. Configurar Proxys con WPAD para cada VLAN

    Muchas gracias por tu ayuda



  • Me alegro de que te sirviera ;)

    Al final he dejado de mirarlo porque el IE y el Chrome lo respetaban, pero sin embargo el Windows y el Firefox lo ignoraban (tiene narices que el IE lo coja y el Windows no…).

    En fin, puede que siga mirando algún día por el tema del SquidGuard y HTTPS, ya quen he visto que cuando utilizas este método, el HTTPS simplemente pasa por un túnel por lo que no da problemas de certificado pero al pasar por el squid es posible filtrarlo con squidguard.

    Un saludo.



  • bueno pues traigo un relajo con mi pfsense… ya le he movido tantas cosas que creo que lo he trabado... :(

    funciona con muchas interrupciones... los navegadores continuamente me dan errores de TIMEOUT, o de DNS...

    Estoy intentando usar el DNS Resolver...

    Sin embargo creo que también algo en las reglas del firewall la estoy regando

    Creo que hoy borro todo y vuelvo a empezar  :'(

    entre el Firewall, DNS, VLANS, WPAD, Balanceo de WANs ya no sé que pasa ....



  • Amigo el WPAD puedes configurarlo usando dhcp y usando dns, que pasa, hay navegadores que con el dhcp lo toman y otro con el dns.. mi configuración es la siguiente.

    que pasa, hay navegadores que usan . dat, otros .pad, es mejor usar esos tres archivos.. vale destacar que ese archivo debe estar en una http que sea alcanzable por todas las subredes
    En tu DNS debes configurar el servicio como se muestra en la figura, Luego en los navegadores  tildas detectar proxy y resuelves

    Mi archivo wpad

    function FindProxyForURL(url,host)
    {
    if (shExpMatch(host, "*.tu_dominio"))
    {
    return "DIRECT";
    }

    if(isInNet(host, "172.31.88.0", "255.255.252.0"))
          {

    return "DIRECT";

    }

    return "PROXY 192.168.2.2:3128";
    }



  • Hola

    Gracias por la ayuda…

    Si me a quedado más claro pero aún con dudas, tomando de ejemplo tu código, sería algo así lo que debo hacer ??

    function FindProxyForURL(url,host)
    {
    if (shExpMatch(host, "*.tu_dominio"))  <--- puedo usar localdomain ?? o escuelaXYZ
      {
          return "DIRECT";  <--- Al poner la palabra DIRECT, quiere decir que va a regresar el PROXY por defecto que supongo es el de abajo?
      }

    if(isInNet(host, "172.31.88.0", "255.255.252.0"))  <--- Por lo que entiendo debo poner uno de estos bloques iF por cada subred o vlan no?
          {

    return "DIRECT";

    }

    return "PROXY 192.168.2.2:3128";
    }


    Con lo que el código podría quedar algo así....

    function FindProxyForURL(url,host)
    {
    if (shExpMatch(host, "*.ejemploXYZ"))
      {
          return "DIRECT";
      }

    if(isInNet(host, "172.31.88.0", "255.255.252.0"))
          {

    return "DIRECT";

    }
            if(isInNet(host, "192.168.4.0", "255.255.252.0"))
          {

    return "DIRECT";

    }
      if(isInNet(host, "192.168.15.0", "255.255.252.0"))
          {

    return "PROXY 192.168.15.1:3128"; <--- Puedo hacer esto si quisiera ???

    }

    return "PROXY 192.168.2.2:3128";
    }

    Gracias por su tiempo y su ayuda



  • Cuando haces el direct, le indicas que no pase por el proxy, esto lo hago para no hacer cache de los servicios internos, como servidores de impresion, intranet, etc… al final cuando hacer return proxy ... todo el trafico que no esta con la opcion direct pasa por el proxy...

    P.D puedes exonerar los dominios que quieras para que no pasen por el proxy con la directiva direct

    Saludos



  • Ok…

    he puesto este código en mis archivos

    function FindProxyForURL(url, host)
    {
    if (isPlainHostName(host) ||
            shExpMatch(host, "*.local") ||
            isInNet(dnsResolve(host), "192.168.14.0", "255.255.255.0") ||
            isInNet(dnsResolve(host), "192.168.15.0", "255.255.255.0") ||
            isInNet(dnsResolve(host), "192.168.16.0", "255.255.255.0") ||
        )
            return "PROXY 192.168.9.1:3128";
    }

    solo hice el proxy.pac y cree dos enlaces simbólicos de los wpad.dat y el wpad.da hacia el proxy.pac

    cuando abro el navegador me responde para descargar los archivos pero.... me marca error en los certificados CA...

    Debo tener los CA para usar WPAD ??

    Los archivos los coloque en /usr/local/www, está bien así ??

    estoy intentando configurarlo por DNS



  • pues sinceramente, nunca me ha dado problemas con certificados, de hecho nunca configuré certificados en el mio…estas usando squid3 para trafico https??



  • Hola de nuevo, muchas gracias por tu tiempo… te iré poniendo pantallas de lo que tengo puesto... tal vez algo estoy poniendo de más o de sobra...

    Mañana inicio a ponerte las pantallas

    Saludos



  • Bueno, aquí dejo las pantallas de la configuración que tengo de Squid y las reglas de FW de la VLAN CC

    que le ven de raro???

    lo que quiero lograr es el WPAD

    Gracias y saludos














  • como tienes configuradas las opciones extras en el dhcp??



  • hasta ahorita no le he puesto nada…

    Pero creo que te refieres a la parte donde le pones el 252 tipo TEXT y la dirección de cada uno de los archivos .pac, .dat y .da

    es eso?



  • exacto.. debes configurar eso y activar la opcion " detectar proxy automaticamente" en el navegador



  • Hola que tal, aún sigo batallando con este detalle =\

    Una pregunta… donde has colocado tus archivos ??

    Estoy siguiendo esta guía, pero habla de algo de un servidor http, el cual no he logrado hacer funcionar como comenta en el tutorial...

    https://nguvu.org/pfsense/pfSense-2.3-WPAD-PAC-proxy-configuration-guide/



  • Los archivos lo coloqué en un servidor http (uso apache) y el dns que uso es bind9 fuera de pfsense.



  • Hola hace tiempo no contesto, había estado ocupado y no había podido seguir con esto…

    noticias... sigo en las mismas, los cambios hechos son que ya he puesto otro servidor web en otra computadora...

    Mi pregunta... que reglas has puesto para que todas las redes puedan entrar a ese servidor web??

    el detalle es que yo tengo varias VLAN

    Suponiengo que tengo VLAN 4,5y 6 y el servidor quedó en la VLAN 8...

    Cómo serían las reglas para que entren las vlan 4,5 y 6 a recoger los archivos pac. dat o da, a la vlan 8 ??

    Saludos!



  • Debes crear reglas en el firewall que permitan el acceso de una red a otra