Redirection de proxy



  • Bonjour,

    j'essaie de mettre en place une infra sécurisée redondée et filtrée d'accès au Web à la maison.

    Le besoin est le suivant :

    • répartition de charge sur deux liens WAN (ADSL + 4G) pour améliorer le confort et permettre à madame de bosser sans craindre la défaillance technique de la liaison Internet
    • filtrage des requêtes pour éviter que les gamins grandissants ne tombent sur des sites peu recommandables par erreur

    J'ai déjà mis en place le Load Balancing mais l'impossibilité de l'appliquer à squid lorsqu'il tourne sur le Firewall me contraint à déplacer ce rôle sur une autre instance de pfsense.

    Je me retrouve donc avec un firewall/répartiteur de charge d'une part et un proxy d'autre part.
    J'ai également mis en place un WPAD pour l'utilisation explicite du proxy mais certains produits/applis windows ou android ignorent ce "détail".
    Je me vois donc dans l'obligation d'activer squid sur le FW en mode transparent et je souhaite rediriger tout le traffic transparent sur le proxy dédié.

    Les deux problématiques sont les suivantes :

    • le peering ne semble pas fonctionner tout le temps, je l'ai vu fonctionner (onglet Real Time affichant le proxy en destination) mais tout le traffic n'était pas redirigé et après quelques manips tout passe en direct sans être redirigé sur le proxy.
    • l'interception SSL ne fonctionne pas, toutes les requêtes tombent en timeout sur les clients

    Pour corser un peu les choses j'ai plusieurs réseaux locaux (j'aime bien me compliquer la vie, sinon c'est pas drôle).
    LAN : postes clients windows, tablettes android (4, 5, 6), smartphones, raspberry
    DMZ : proxy (pfsense), serveur mail, serveur web
    TECH : supervision, serveur sql
    WAN1 : ADSL
    WAN2 : 4G
    Le FW est une VM (KVM) raccordée à toutes les pattes.

    Concernant le 1er point (redirection du traffic transparent sur le proxy) j'ai créé un Remote Cache sur le FW dont le paramètres sont les suivants :
    Hostname : proxy
    TCP Port : 3128
    General Options : Proxy Only
    Hierarchy : parent
    Select Method : default
    ICP Port : 3130
    ICP Options : closest-only

    La conf squid du FW est la suivante :
    Proxy Interface : LAN
    Proxy Port : 3128
    ICP Port : 3130
    Allow Users on Interface : true
    Transparent HTTP proxy : true
    Bypass Proxy for Priv. Addr. : true
    HTTP/SSL Interception : true
    SSL Intercept Interfaces : LAN
    SSL Proxy Port : 3129
    Compatibility : Modern
    CA : Let's encrypt (Acme)

    La conf squid du proxy est la suivante :
    Proxy Interface : LAN, DMZ
    Proxy Port : 3128
    ICP Port : 3130
    Allow Users on Interface : true

    Pour le second point on verra plus tard, j'ouvrirai un second sujet.

    PS : à titre d'exemple voici ce que j'ai dans le Real Time squid du FW
    27.07.2017 22:36:43 clientLAN2 TCP_TUNNEL/200 settings-win.data.microsoft.com:443 - 52.178.178.16
    27.07.2017 22:36:26 clientLAN1 TCP_MISS/200 http://drim.com/ - 193.34.131.54
    27.07.2017 22:35:53 clientLAN1 TCP_MISS/302 http://www.ovh.com/ - @IP proxy