Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Redirection de proxy

    Français
    1
    1
    473
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      furynick last edited by

      Bonjour,

      j'essaie de mettre en place une infra sécurisée redondée et filtrée d'accès au Web à la maison.

      Le besoin est le suivant :

      • répartition de charge sur deux liens WAN (ADSL + 4G) pour améliorer le confort et permettre à madame de bosser sans craindre la défaillance technique de la liaison Internet
      • filtrage des requêtes pour éviter que les gamins grandissants ne tombent sur des sites peu recommandables par erreur

      J'ai déjà mis en place le Load Balancing mais l'impossibilité de l'appliquer à squid lorsqu'il tourne sur le Firewall me contraint à déplacer ce rôle sur une autre instance de pfsense.

      Je me retrouve donc avec un firewall/répartiteur de charge d'une part et un proxy d'autre part.
      J'ai également mis en place un WPAD pour l'utilisation explicite du proxy mais certains produits/applis windows ou android ignorent ce "détail".
      Je me vois donc dans l'obligation d'activer squid sur le FW en mode transparent et je souhaite rediriger tout le traffic transparent sur le proxy dédié.

      Les deux problématiques sont les suivantes :

      • le peering ne semble pas fonctionner tout le temps, je l'ai vu fonctionner (onglet Real Time affichant le proxy en destination) mais tout le traffic n'était pas redirigé et après quelques manips tout passe en direct sans être redirigé sur le proxy.
      • l'interception SSL ne fonctionne pas, toutes les requêtes tombent en timeout sur les clients

      Pour corser un peu les choses j'ai plusieurs réseaux locaux (j'aime bien me compliquer la vie, sinon c'est pas drôle).
      LAN : postes clients windows, tablettes android (4, 5, 6), smartphones, raspberry
      DMZ : proxy (pfsense), serveur mail, serveur web
      TECH : supervision, serveur sql
      WAN1 : ADSL
      WAN2 : 4G
      Le FW est une VM (KVM) raccordée à toutes les pattes.

      Concernant le 1er point (redirection du traffic transparent sur le proxy) j'ai créé un Remote Cache sur le FW dont le paramètres sont les suivants :
      Hostname : proxy
      TCP Port : 3128
      General Options : Proxy Only
      Hierarchy : parent
      Select Method : default
      ICP Port : 3130
      ICP Options : closest-only

      La conf squid du FW est la suivante :
      Proxy Interface : LAN
      Proxy Port : 3128
      ICP Port : 3130
      Allow Users on Interface : true
      Transparent HTTP proxy : true
      Bypass Proxy for Priv. Addr. : true
      HTTP/SSL Interception : true
      SSL Intercept Interfaces : LAN
      SSL Proxy Port : 3129
      Compatibility : Modern
      CA : Let's encrypt (Acme)

      La conf squid du proxy est la suivante :
      Proxy Interface : LAN, DMZ
      Proxy Port : 3128
      ICP Port : 3130
      Allow Users on Interface : true

      Pour le second point on verra plus tard, j'ouvrirai un second sujet.

      PS : à titre d'exemple voici ce que j'ai dans le Real Time squid du FW
      27.07.2017 22:36:43 clientLAN2 TCP_TUNNEL/200 settings-win.data.microsoft.com:443 - 52.178.178.16
      27.07.2017 22:36:26 clientLAN1 TCP_MISS/200 http://drim.com/ - 193.34.131.54
      27.07.2017 22:35:53 clientLAN1 TCP_MISS/302 http://www.ovh.com/ - @IP proxy

      1 Reply Last reply Reply Quote 0
      • First post
        Last post

      Products

      • Platform Overview
      • TNSR
      • pfSense
      • Appliances

      Services

      • Training
      • Professional Services

      Support

      • Subscription Plans
      • Contact Support
      • Product Lifecycle
      • Documentation

      News

      • Media Coverage
      • Press
      • Events

      Resources

      • Blog
      • FAQ
      • Find a Partner
      • Resource Library
      • Security Information

      Company

      • About Us
      • Careers
      • Partners
      • Contact Us
      • Legal
      Our Mission

      We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

      Subscribe to our Newsletter

      Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

      © 2021 Rubicon Communications, LLC | Privacy Policy