Redirection de proxy
-
Bonjour,
j'essaie de mettre en place une infra sécurisée redondée et filtrée d'accès au Web à la maison.
Le besoin est le suivant :
- répartition de charge sur deux liens WAN (ADSL + 4G) pour améliorer le confort et permettre à madame de bosser sans craindre la défaillance technique de la liaison Internet
- filtrage des requêtes pour éviter que les gamins grandissants ne tombent sur des sites peu recommandables par erreur
J'ai déjà mis en place le Load Balancing mais l'impossibilité de l'appliquer à squid lorsqu'il tourne sur le Firewall me contraint à déplacer ce rôle sur une autre instance de pfsense.
Je me retrouve donc avec un firewall/répartiteur de charge d'une part et un proxy d'autre part.
J'ai également mis en place un WPAD pour l'utilisation explicite du proxy mais certains produits/applis windows ou android ignorent ce "détail".
Je me vois donc dans l'obligation d'activer squid sur le FW en mode transparent et je souhaite rediriger tout le traffic transparent sur le proxy dédié.Les deux problématiques sont les suivantes :
- le peering ne semble pas fonctionner tout le temps, je l'ai vu fonctionner (onglet Real Time affichant le proxy en destination) mais tout le traffic n'était pas redirigé et après quelques manips tout passe en direct sans être redirigé sur le proxy.
- l'interception SSL ne fonctionne pas, toutes les requêtes tombent en timeout sur les clients
Pour corser un peu les choses j'ai plusieurs réseaux locaux (j'aime bien me compliquer la vie, sinon c'est pas drôle).
LAN : postes clients windows, tablettes android (4, 5, 6), smartphones, raspberry
DMZ : proxy (pfsense), serveur mail, serveur web
TECH : supervision, serveur sql
WAN1 : ADSL
WAN2 : 4G
Le FW est une VM (KVM) raccordée à toutes les pattes.Concernant le 1er point (redirection du traffic transparent sur le proxy) j'ai créé un Remote Cache sur le FW dont le paramètres sont les suivants :
Hostname : proxy
TCP Port : 3128
General Options : Proxy Only
Hierarchy : parent
Select Method : default
ICP Port : 3130
ICP Options : closest-onlyLa conf squid du FW est la suivante :
Proxy Interface : LAN
Proxy Port : 3128
ICP Port : 3130
Allow Users on Interface : true
Transparent HTTP proxy : true
Bypass Proxy for Priv. Addr. : true
HTTP/SSL Interception : true
SSL Intercept Interfaces : LAN
SSL Proxy Port : 3129
Compatibility : Modern
CA : Let's encrypt (Acme)La conf squid du proxy est la suivante :
Proxy Interface : LAN, DMZ
Proxy Port : 3128
ICP Port : 3130
Allow Users on Interface : truePour le second point on verra plus tard, j'ouvrirai un second sujet.
PS : à titre d'exemple voici ce que j'ai dans le Real Time squid du FW
27.07.2017 22:36:43 clientLAN2 TCP_TUNNEL/200 settings-win.data.microsoft.com:443 - 52.178.178.16
27.07.2017 22:36:26 clientLAN1 TCP_MISS/200 http://drim.com/ - 193.34.131.54
27.07.2017 22:35:53 clientLAN1 TCP_MISS/302 http://www.ovh.com/ - @IP proxy