Problemas con WPAD y DNS



  • Buenas,
    Estoy gestionando una empresa y he tenido que poner un firewall, he elegido PFSense con la versión 2.4.4-2.
    Mi idea es que todos los usuarios pasen por el proxy y filtrarles el contenido aparte de proteger la Red. Bien, pues lo que he podido conseguir es bloquear con SQUID Y Squidguard los puertos 80(http) y 443 (https). Pero claro tengo que añadir en las configuraciones de los navegadores el proxy manual y son 70 usuarios. Así que vi la opción de WPAD.
    Tengo a todos los ordenadores con IP'S estáticas, (192.198.1.0) luego tengo la WAN(172.10.1.0) Y otra Red que la uso para el WiFi (192.168.10.1).
    Por lo que veo no es posible hacerlo así o me estoy volviendo loco.. Ya que no consigo que mis ordenadores tengan Internet.. Si es manual los navegadores navegan pero por ejemplo el WhatsApp web o Outlook no funcionan.. Tengo DHCP en el Wifi pero en lo demás no. Así que he configurado el proxy de la siguiente manera(capturas debajo)
    He hecho pruebas con el DHCP activo en la Lan y un ordenador con Dhcp y por lo que veo los navegadores se configuran perfectos pero lo demás como he indicado no va ni a tiros..
    Lo tengo configurado de la siguiente manera

    · En System/Advanced/Admin Access tengo el protocolo HTTP ya que con el HTTP's he leido que no funciona el WPAD y el Secure Shell Server en Enable.
    · En System/General Setup tengo puesto mi Hostname y Dominio (empresa.com). DNS 8.8.8.8/8.8.4.4, lo demas todo desactivado.alt text

    ·Las interfaces son las siguientes: https://i.ibb.co/2q0S3gP/2.jpg
    alt text

    ·En Firewall/Aliases no tengo nada registrado
    ·En Firewall/NAT en Port Forward tengo lo siguiente:
    alt text
    ·En Firewall/Rules la siguiente captura: https://i.ibb.co/b1VyBpQ/4.jpg
    alt text
    ·En Services/DHCP Server en WAN desactivado / en LAN ahora activado para las pruebas (192.168.1.80 a 89) con nada rellenado salvo el Additional BOOTP/DHCP Options
    option 252 <-string-> “http://wpad.localdomain.local/wpad.dat”
    option 252 <-string-> “http://wpad.localdomain.local/wpad.da”
    option 252 <-string-> “http://wpad.localdomain.local/proxy.pac”

    y en WIFI Enable de la 192.168.10.100 a la 200, con DNS 8.8.8.8/8.8.4.4 y Gateway 192.168.10.1.

    ·En Services/DNS Forwarder lo tengo deshabilitado.
    ·En Services/DNS Resolver lo tengo activado con un Host Overrides
    alt text

    ·En Services/Proxy Server/General lo tengo activado, Proxy Interfaces (Lan y Loopback), Proxy transparente y SSL desactivado.
    ·En Services/Proxy Server/Antivirus Activado el ClamAV.
    ·En Services/Proxy Filter SquidGuard Activado con la BlackList puesta y unas restricciones tipo bk_SOCIAL y funciona en HTTP y HTTPs

    Despues de todo esto, puedo descargar haciendo hostname.dominio.com/wpad.dat-wpad.da-proxy.pac.
    Me da ping al wpad.dominio.com.
    Nslookup me resuelve bien.
    WPAD
    function FindProxyForURL(url, host)
    {
    if (isPlainHostName(host)) {
    return .DIRECT.;
    }
    if (isInNet(host, .192.168.1.0., .255.255.255.0.)) {
    return .DIRECT.;
    }
    return "PROXY 192.168.1.7:3128";
    }
    A ver si me podéis ayudar con esta información a arreglar el problema, si veis que necesitais algo más pedidmelo.

    Muchas gracias.



  • Hola, has podido solucionar tu problema? Si ya lo solucionaste, podrías escribir cómo lo solucionaste?

    Saludos



  • @pozolero said in Problemas con WPAD y DNS:

    Hola, has podido solucionar tu problema? Si ya lo solucionaste, podrías escribir cómo lo solucionaste?

    Saludos

    Al final dejé de lado wpad, puse proxy transparente por https y con un par de reglas.

    Cuál es tu problema exactamente?



  • @sonerzin Ninguno, porque yo tengo una configuracion con wpad trabajando de lujo. Era para ver si puedo ayudarte con tu problema.

    Mi PfSense lo tengo con Squid modo no transparente, así le metan ip manual, no navegan si no es por el proxy + SquidGuard + Wpad

    Mi red la tengo de la siguiente manera:

    2 interfaces de red: WAN y LAN

    Dentro de la lan tengo Access Point para manejar las conexiones inalambricas también

    Tengo usuarios con 2 tipos de bloqueo: Jefes que no tienen bloqueo más que páginas porno y Usuarios que tienen distintos tipos de bloqueo por ejemplo porno, paginas de descarga tipo mega, redes sociales, peliculas, etc.

    Si gustas nos ponemos de acuerdo para poder ayudarte, porque si se tienen que ocupar configuraciones y archivos de configuracion para que jale el wpad de manera adecuada. Te digo yo lo tengo asi y me jala de lujo.

    Saludos



  • Yo desistí de utilizar WPAD. Te recomiendo este video de Pedro Moreno. Esta muy bien explicado y no es necesario WPAD.
    Youtube Video



  • @jperezme Conozco a Pedro, el famosisimo Pheriko! Con él aprendí mucho sobre pfsense.

    Ahora el problema de MITM es que es una práctica no recomendable, depende del país, podría ser penada. Ya que es exactamente como si al enviar una carta, el cartero la leyera, por ende no es una práctica recomendable y adecuada.

    Creeme, yo también pensé en eso y el problema de MITM aparte de lo que te acabo de escribir, está en ir navegador por navegador a instalar el certificado y darle aceptar...

    Por el momento, yo no he tenido grandes problemas, así que seguiré trabajando asi.

    Saludos


Log in to reply