Proxy / Nanobsd

workman

Bonjour à tous !

Alors voila, j'ai refait mon infra d'entreprise avec un pfsense 2.4 Nanobsd que j'ai installé sur une CF..

voici grosomodo l'installation

1. pfsense avec
multiwan + vlans + traffic shapper + dhcp (sur chaques vlans)

Wan => vlan1
vlan 1 : 172.16.11.5/24 - dhcp 172.16.11.10 - 172.16.11.50

idem pour les autres vlans

vlan 2 : 172.16.22.5/24 - dhcp 172.16.22.10 - 22.50
vlan 3 : 172.16.33.5/24 - dhcp  172.16.33.10 - 33.50

mon problème, c'est que je souhaiterais rajouter au parefeu le rôle de proxy, Or squid et CF ne font pas bon ménage…

sur mon pfsense, j'ai 3 interfaces (2 wans et 1 LAN (qui gère les vlans) en trunk sur mon switch qui balance les vlans.

du coup j'ai plusieurs idées mais ce n'est pas propre je trouve ... je vous expose cela ci-dessous

sur le vlan 2 il y à un serveur qui gère 2 vm, un controleur de domaine et un serveur d'applications

• Créer une 3éme VM (proxy) basé sur pfsense ou une autre distribution qui vas gérer uniquement le proxy (squid + squidguard)

Problème, je souhaiterais que le proxy soit appliqué sur le vlan1 et le vlan3 mais pas sur le 2 ... or le serveur est connecté sur le vlan1

du coup je me suis demandé si je pouvais créer une rule de façon a ce que les 2 vlans puissent contacté le wan du pfsense (vm) et changer les propriétés dhcp des deux vlans de façon à ce que leurs gw ne soit plus 172.16.11.5 ou 33.5 mais 172.16.40.5 (soit l'ip wan de mon proxy "pfsense en vm").

mais cela me semble brouillon et pas top au niveau de la sécurité, car je souhaite que chaque vlans reste opaque vis a vis des autres vlans

j'espère que j'ai été clair ^^

merci d'avance pour vos propositions

Worker

jdh

N'oubliez pas de lire A LIRE EN PREMIER pour être un peu plus précis sur votre description.

Remarque 1 :
Vous distribuez du DHCP sur WAN ? C'est très curieux !

Remarque 2 :
Bien sûr que Proxy et CompactFlash n'est pas adapté : mort assurée de la CF en quelques jours !

Il est aisé de créer un proxy à partir d'une VM de Debian par exemple : cela prend un peu de temps pour ajuster les paramètres, mais ensuite vous copierez …
Ensuite rien n'interdit de faire connaitre ce proxy à chacun des vlan internes avec WPAD et les règles d'autorisations idoines : peut-être un vlan dédié au proxy ?

workman

Bonsoir Jdh et merci beaucoup pour votre réponse rapide et efficace !

Désolé, j'étais pressé ^^

non il n'y a pas de dhcp sur le wan heureusement ^^

L'installation :

2 box ADSL :
box 1 192.168.0.1/24 ip pub : AA.AA.AA.AA
box 2 192.168.1.1/24 ip pub : BB.BB.BB.BB

les deux box sont branchés sur les 2 ports/3 du pare-feu pfsense en multiwan état : ok

le 3 eme port LAN 172.16.10.0/24 est connecté au switch

le LAN délivre 3 vlan

vlan1 :
IP - 172.16.11.5/24
Network : 172.16.11.0/24
DHCP : 172.16.11.10 - 11.50
Nécessité du proxy : oui
vlan2 :
IP - 172.16.22.5/24
Network: 172.16.22.0/24
DHCP : 172.16.22.10 - 22.50
Nécessité du proxy : non
vlan3 :
IP - 172.16.33.5/24
Network : 172.16.33.0/24
DHCP : 172.16.33.10 - 33.50
Nécessité du proxy : oui

les 3 vlan ne communique pas entre elles, c'est le but.
–---------------
votre hypothèse de la vlan dédiée au proxy est pas mal ! je n'y ai pas pensé !
du coup un vlan4 en 172.16.44.0 j'ajoute le vlan sur le switch de façon à ce que chaque vlan puisse communiquer avec le vlan40 ?

En pratique :

le serveur est sur le vlan 2
je créé une VM pour le proxy avec un debian ou autre
1 carte virtuelle en pont
adressage : 172.16.44.254/24
GW (vlan coté pfsense) : 172.16.44.5/24

sur le switch j'ajoute le vlan4 dans le vlan1 et vlan3 (vlan1,vlan4 / vlan3,vlan4)

je change la gw dans la config dhcp du vlan 1 et vlan3 par => 172.16.44.5
ou je créer une rules de type

vlan1 > destination : vlan4 port : http (idem pour le https) ?

je n'ai pas bien saisi le principe de wpad (je vais faire des recherches merci pour l'info !)

Bonne soirée et merci d'avance ! en espérant que mon explication soit clair ^^

chris4916

@workman:

sur le vlan 2 il y à un serveur qui gère 2 vm, un controleur de domaine et un serveur d'applications

• Créer une 3éme VM (proxy) basé sur pfsense ou une autre distribution qui vas gérer uniquement le proxy (squid + squidguard)

Problème, je souhaiterais que le proxy soit appliqué sur le vlan1 et le vlan3 mais pas sur le 2 … or le serveur est connecté sur le vlan1

du coup je me suis demandé si je pouvais créer une rule de façon a ce que les 2 vlans puissent contacté le wan du pfsense (vm) et changer les propriétés dhcp des deux vlans de façon à ce que leurs gw ne soit plus 172.16.11.5 ou 33.5 mais 172.16.40.5 (soit l'ip wan de mon proxy "pfsense en vm").

mais cela me semble brouillon et pas top au niveau de la sécurité, car je souhaite que chaque vlans reste opaque vis a vis des autres vlans

Ce qui t'empêche de faire un design "simple", c'est que tu fais la supposition que le proxy doit travailler en mode transparent, donc être au niveau de la passerelle par défaut.
Si ton proxy est en mode explicite (WPAD est en effet une des solutions, au moins partielle), tu peux bien le mettre où tu veux et si tu veux qu'il soit absolument sur un VLAN isolé, rien ne t'empêche de créer un VLAN supplémentaire dédié à cet usage, même si c'est une VM dont l'hyperviseur est sur un autre VLAN  ;)

workman

bonsoir à tous !

Bon, j'ai commencer le taff en suivant vos indications, soit :

• Sur le firewall, création du vlan 4 "proxy" : 172.16.44.5/24
• Sur le switch, création du vlan4 et assignation des ports - 10, 11, 12 soit : 10(vlan1,vlan4 statique) / 11(vlan3,vlan4 statique) / 12(vlan2,vlan4)

sur l'hyperviseur (situé dans le vlan2)

création de la vm "proxy"

du coup le port 10 et 11 peuvent communiquer avec le network 172.16.44.0/24 (vlan4) mais ne peuvent pas communiquer ensemble (vlan3 et 1)

je vous tiens au courant de la suite de la config ^^

merci !

workman

Bonsoir à tous !

Après avoir suivis vos conseil ca marche et pfsense le gère très bien c'est top !

Merci les gars !

Workman