Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Vlan invité + portail captif + proxy

    Français
    3
    29
    3.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jdh
      last edited by

      (WPAD) Edit : Ok, après plusieurs heures je trouve ce que je cherche

      Mince, dire que quelqu'un s'est donné la peine de créer un fil, sur ce forum, spécifiquement pour WPAD : comment ça fonctionne, ce qu'il faut faire, les bons liens, que, de plus, une bonne âme a ajouté un programme de test et vérification, au cas où on n'arriverait pas à le faire à la main … Désespérant ...

      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        @yannka57:

        Ah mince, WPAD doit être mis en place sur mon PfSense ou sur mon proxy Squid ?

        WPAD n'est pas un (1) composant que tu déploies sur une machine mais un ensemble de composants qui, correctement configurés permettent la découverte du proxy.

        Il s'agit:

        • d'un fichier proxy.pac (avec ses différentes déclinaisons car tous les browsers ne cherchent pas un fichier wpad.dat)
        • et donc un serveur web pour supporter le proxy.pac
        • de configuration au niveau DHCP et DNS pour communiquer aux clients où trouver ce fichier proxy.pac

        à partir de la, tu es libre de t’organiser comme tu le souhaites pour utiliser le serveur web de ton choix dès lors qu'il va supporter les settings (e.g. mime), DNS et DHCP de ton choix.

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • Y
          yannka57
          last edited by

          Merci pour toutes ces réponses Chris. Au top !
          Je me demandais surtout s'il y avait une bonne pratique de préconisée par rapport à la localisation du serveur WEB ?

          Jdh, eh oui, désespérant :/
          (Le sujet, une fois trouvé, est bien utile cela dit !)

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Si j'ai écrit ce fil sur WPAD, c'était pour rassembler ce qui est nécessaire à la mise en place de WPAD, et démontrer que c'est à la portée de tout admin qui est méthodique et sait suivre des étapes.

            Depuis très longtemps, j'écris sur le conseil de séparer le proxy du firewall (dès qu'on dépasse 15 utilisateurs par exemple ou dès qu'il y a un trafic sérieux).
            Nécessairement sur ce proxy dédié, on installera par exemple un Apache puisqu'on en aura besoin pour les alertes SquidGuard ou la visu des logs (LightSquid p.e.).
            Cet apache sera bien évidemment le lieu privilégié pour installer les fichiers .pac, .dat et .da (ainsi que les mime-type !).

            Cette dernière question montre d'ailleurs que pfSense n'est pas le lieu idéal, loin s'en faut, : comment définir les mime-type du serveur web de pfSense ?

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • Y
              yannka57
              last edited by

              Notre architecture est déjà posée et impossible à modifier :

              GUEST –--- PfSense ------ Proxy local Squid ------ Proxy parent externe.

              Je n'ai pas de SuidGuard sur mon proxy local, donc pas de serveur web installé et configuré.

              N'est-il pas possible de paramétrer le serveur web nécessaire à WPAD dans mon PfSense ?
              Avec Nginx dans la version PfSense 2.3.

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                Techniquement, tu peux bien sûr le faire mais ça devient un peu tricky parce que Nginx est utilisé pour supporter le web gui de pfSense.

                • il faut un vhost pour répondre à http://WPAD.ton_domain  (cf la méthode des well known aliases)
                • changer la conf de l'instance par défaut n'est pas une très bonne idée
                • mais tu peux toujours (ce n'est pas sans risque) configurer une deuxième instance mais il faut maintenir les fichiers de conf à la main.

                Ce n'est pas non plus très compliqué mais il faut bien être conscient des impacts

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • Y
                  yannka57
                  last edited by

                  Je suis en train de tester la version 2.3.4 de PfSense et le package "vhost" n'est plus supporté donc c'est pas possible.

                  Je comprends bien la problématique d'utiliser le server web nginx utilisé par l'interface, ce n'est effectivement pas une bonne idée. Qui me dit que les mises à jours suivantes de PfSense changera pas à nouveau le serveur web GUI ? :)

                  Et le serveur Web du portail captif est lequel ? Puis-je utiliser celui-ci ?

                  1 Reply Last reply Reply Quote 0
                  • Y
                    yannka57
                    last edited by

                    Je reviens vers vous car je n'arrive meme pas à faire fonctionner Squid en mode transparent.

                    Config PfSense fur PAT HTTP vers PROXY:3130

                    Config Squid transparent :
                    http_port 172.17.240.1:3130 intercept

                    Test :
                    Mon client Windows10 reçoit son adressage du réseau test.
                    J'ouvre un navigateur pour aller vers free.fr.
                    Le portail captif m'intercepte et me demande de m'authentifier.
                    Je m'authentifie.
                    Je ressaie "free.fr" et j'ai cette erreur :

                    Voici les messages du cache.log :

                    Une idée ? Je sèche complètement

                    Dans le squid.conf
                    A la base j'ai trouvé que c'est parce que le port est peut etre le même que le mode explicite. Je l'ai changé en 3130 au lieu de 3128.
                    J'ai ensuite trouvé qu'il faut renseigner l'IP du proxy avec le port : 172.17.240.1:3130

                    Mais rien

                    1 Reply Last reply Reply Quote 0
                    • Y
                      yannka57
                      last edited by

                      Bon bon, je viens de trouver un mode de Squid qui fonctionne :

                      http_port 3130 accel

                      Quand je vais voir dans mon access.log, mon proxy local forward bien au proxy parent et les sites http sont bien filtrés (testé avec un site interdit, impossible d'y aller).

                      Mais je ne comprends trop ce mode accelerator en tant que proxy transparent ?
                      Est-ce parce que mon proxy local n'est finalement qu'un forward vers son proxy parent ?

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.