Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Proxy / Nanobsd

    Scheduled Pinned Locked Moved Français
    6 Posts 3 Posters 741 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      workman
      last edited by

      Bonjour à tous !

      Alors voila, j'ai refait mon infra d'entreprise avec un pfsense 2.4 Nanobsd que j'ai installé sur une CF..

      voici grosomodo l'installation

      1. pfsense avec
      multiwan + vlans + traffic shapper + dhcp (sur chaques vlans)

      Wan => vlan1
      vlan 1 : 172.16.11.5/24 - dhcp 172.16.11.10 - 172.16.11.50

      idem pour les autres vlans

      vlan 2 : 172.16.22.5/24 - dhcp 172.16.22.10 - 22.50
      vlan 3 : 172.16.33.5/24 - dhcp  172.16.33.10 - 33.50

      mon problème, c'est que je souhaiterais rajouter au parefeu le rôle de proxy, Or squid et CF ne font pas bon ménage…

      sur mon pfsense, j'ai 3 interfaces (2 wans et 1 LAN (qui gère les vlans) en trunk sur mon switch qui balance les vlans.

      du coup j'ai plusieurs idées mais ce n'est pas propre je trouve ... je vous expose cela ci-dessous

      sur le vlan 2 il y à un serveur qui gère 2 vm, un controleur de domaine et un serveur d'applications

      • Créer une 3éme VM (proxy) basé sur pfsense ou une autre distribution qui vas gérer uniquement le proxy (squid + squidguard)

      Problème, je souhaiterais que le proxy soit appliqué sur le vlan1 et le vlan3 mais pas sur le 2 ... or le serveur est connecté sur le vlan1

      du coup je me suis demandé si je pouvais créer une rule de façon a ce que les 2 vlans puissent contacté le wan du pfsense (vm) et changer les propriétés dhcp des deux vlans de façon à ce que leurs gw ne soit plus 172.16.11.5 ou 33.5 mais 172.16.40.5 (soit l'ip wan de mon proxy "pfsense en vm").

      mais cela me semble brouillon et pas top au niveau de la sécurité, car je souhaite que chaque vlans reste opaque vis a vis des autres vlans

      j'espère que j'ai été clair ^^

      merci d'avance pour vos propositions

      Worker

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        N'oubliez pas de lire A LIRE EN PREMIER pour être un peu plus précis sur votre description.

        Remarque 1 :
        Vous distribuez du DHCP sur WAN ? C'est très curieux !

        Remarque 2 :
        Bien sûr que Proxy et CompactFlash n'est pas adapté : mort assurée de la CF en quelques jours !

        Il est aisé de créer un proxy à partir d'une VM de Debian par exemple : cela prend un peu de temps pour ajuster les paramètres, mais ensuite vous copierez …
        Ensuite rien n'interdit de faire connaitre ce proxy à chacun des vlan internes avec WPAD et les règles d'autorisations idoines : peut-être un vlan dédié au proxy ?

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • W
          workman
          last edited by

          Bonsoir Jdh et merci beaucoup pour votre réponse rapide et efficace !

          Désolé, j'étais pressé ^^

          non il n'y a pas de dhcp sur le wan heureusement ^^

          L'installation :

          2 box ADSL :
          box 1 192.168.0.1/24 ip pub : AA.AA.AA.AA
          box 2 192.168.1.1/24 ip pub : BB.BB.BB.BB

          les deux box sont branchés sur les 2 ports/3 du pare-feu pfsense en multiwan état : ok

          le 3 eme port LAN 172.16.10.0/24 est connecté au switch

          le LAN délivre 3 vlan

          vlan1 :
          IP - 172.16.11.5/24
          Network : 172.16.11.0/24
          DHCP : 172.16.11.10 - 11.50
          Nécessité du proxy : oui
          vlan2 :
          IP - 172.16.22.5/24
          Network: 172.16.22.0/24
          DHCP : 172.16.22.10 - 22.50
          Nécessité du proxy : non
          vlan3 :
          IP - 172.16.33.5/24
          Network : 172.16.33.0/24
          DHCP : 172.16.33.10 - 33.50
          Nécessité du proxy : oui

          les 3 vlan ne communique pas entre elles, c'est le but.
          –---------------
          votre hypothèse de la vlan dédiée au proxy est pas mal ! je n'y ai pas pensé !
          du coup un vlan4 en 172.16.44.0 j'ajoute le vlan sur le switch de façon à ce que chaque vlan puisse communiquer avec le vlan40 ?

          En pratique :

          le serveur est sur le vlan 2
          je créé une VM pour le proxy avec un debian ou autre
          1 carte virtuelle en pont
          adressage : 172.16.44.254/24
          GW (vlan coté pfsense) : 172.16.44.5/24

          sur le switch j'ajoute le vlan4 dans le vlan1 et vlan3 (vlan1,vlan4 / vlan3,vlan4)

          je change la gw dans la config dhcp du vlan 1 et vlan3 par => 172.16.44.5
          ou je créer une rules de type

          vlan1 > destination : vlan4 port : http (idem pour le https) ?

          je n'ai pas bien saisi le principe de wpad (je vais faire des recherches merci pour l'info !)

          Bonne soirée et merci d'avance ! en espérant que mon explication soit clair ^^

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            @workman:

            sur le vlan 2 il y à un serveur qui gère 2 vm, un controleur de domaine et un serveur d'applications

            • Créer une 3éme VM (proxy) basé sur pfsense ou une autre distribution qui vas gérer uniquement le proxy (squid + squidguard)

            Problème, je souhaiterais que le proxy soit appliqué sur le vlan1 et le vlan3 mais pas sur le 2 … or le serveur est connecté sur le vlan1

            du coup je me suis demandé si je pouvais créer une rule de façon a ce que les 2 vlans puissent contacté le wan du pfsense (vm) et changer les propriétés dhcp des deux vlans de façon à ce que leurs gw ne soit plus 172.16.11.5 ou 33.5 mais 172.16.40.5 (soit l'ip wan de mon proxy "pfsense en vm").

            mais cela me semble brouillon et pas top au niveau de la sécurité, car je souhaite que chaque vlans reste opaque vis a vis des autres vlans

            Ce qui t'empêche de faire un design "simple", c'est que tu fais la supposition que le proxy doit travailler en mode transparent, donc être au niveau de la passerelle par défaut.
            Si ton proxy est en mode explicite (WPAD est en effet une des solutions, au moins partielle), tu peux bien le mettre où tu veux et si tu veux qu'il soit absolument sur un VLAN isolé, rien ne t'empêche de créer un VLAN supplémentaire dédié à cet usage, même si c'est une VM dont l'hyperviseur est sur un autre VLAN  ;)

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • W
              workman
              last edited by

              bonsoir à tous !

              Bon, j'ai commencer le taff en suivant vos indications, soit :

              • Sur le firewall, création du vlan 4 "proxy" : 172.16.44.5/24
              • Sur le switch, création du vlan4 et assignation des ports - 10, 11, 12 soit : 10(vlan1,vlan4 statique) / 11(vlan3,vlan4 statique) / 12(vlan2,vlan4)

              sur l'hyperviseur (situé dans le vlan2)

              création de la vm "proxy"

              du coup le port 10 et 11 peuvent communiquer avec le network 172.16.44.0/24 (vlan4) mais ne peuvent pas communiquer ensemble (vlan3 et 1)

              je vous tiens au courant de la suite de la config ^^

              merci !

              1 Reply Last reply Reply Quote 0
              • W
                workman
                last edited by

                Bonsoir à tous !

                Après avoir suivis vos conseil ca marche et pfsense le gère très bien c'est top !

                Merci les gars !

                Workman

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.