Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problemas con WPAD y DNS

    Scheduled Pinned Locked Moved Español
    6 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sonerzin
      last edited by sonerzin

      Buenas,
      Estoy gestionando una empresa y he tenido que poner un firewall, he elegido PFSense con la versión 2.4.4-2.
      Mi idea es que todos los usuarios pasen por el proxy y filtrarles el contenido aparte de proteger la Red. Bien, pues lo que he podido conseguir es bloquear con SQUID Y Squidguard los puertos 80(http) y 443 (https). Pero claro tengo que añadir en las configuraciones de los navegadores el proxy manual y son 70 usuarios. Así que vi la opción de WPAD.
      Tengo a todos los ordenadores con IP'S estáticas, (192.198.1.0) luego tengo la WAN(172.10.1.0) Y otra Red que la uso para el WiFi (192.168.10.1).
      Por lo que veo no es posible hacerlo así o me estoy volviendo loco.. Ya que no consigo que mis ordenadores tengan Internet.. Si es manual los navegadores navegan pero por ejemplo el WhatsApp web o Outlook no funcionan.. Tengo DHCP en el Wifi pero en lo demás no. Así que he configurado el proxy de la siguiente manera(capturas debajo)
      He hecho pruebas con el DHCP activo en la Lan y un ordenador con Dhcp y por lo que veo los navegadores se configuran perfectos pero lo demás como he indicado no va ni a tiros..
      Lo tengo configurado de la siguiente manera

      · En System/Advanced/Admin Access tengo el protocolo HTTP ya que con el HTTP's he leido que no funciona el WPAD y el Secure Shell Server en Enable.
      · En System/General Setup tengo puesto mi Hostname y Dominio (empresa.com). DNS 8.8.8.8/8.8.4.4, lo demas todo desactivado.alt text

      ·Las interfaces son las siguientes: https://i.ibb.co/2q0S3gP/2.jpg
      alt text

      ·En Firewall/Aliases no tengo nada registrado
      ·En Firewall/NAT en Port Forward tengo lo siguiente:
      alt text
      ·En Firewall/Rules la siguiente captura: https://i.ibb.co/b1VyBpQ/4.jpg
      alt text
      ·En Services/DHCP Server en WAN desactivado / en LAN ahora activado para las pruebas (192.168.1.80 a 89) con nada rellenado salvo el Additional BOOTP/DHCP Options
      option 252 <-string-> “http://wpad.localdomain.local/wpad.dat”
      option 252 <-string-> “http://wpad.localdomain.local/wpad.da”
      option 252 <-string-> “http://wpad.localdomain.local/proxy.pac”

      y en WIFI Enable de la 192.168.10.100 a la 200, con DNS 8.8.8.8/8.8.4.4 y Gateway 192.168.10.1.

      ·En Services/DNS Forwarder lo tengo deshabilitado.
      ·En Services/DNS Resolver lo tengo activado con un Host Overrides
      alt text

      ·En Services/Proxy Server/General lo tengo activado, Proxy Interfaces (Lan y Loopback), Proxy transparente y SSL desactivado.
      ·En Services/Proxy Server/Antivirus Activado el ClamAV.
      ·En Services/Proxy Filter SquidGuard Activado con la BlackList puesta y unas restricciones tipo bk_SOCIAL y funciona en HTTP y HTTPs

      Despues de todo esto, puedo descargar haciendo hostname.dominio.com/wpad.dat-wpad.da-proxy.pac.
      Me da ping al wpad.dominio.com.
      Nslookup me resuelve bien.
      WPAD
      function FindProxyForURL(url, host)
      {
      if (isPlainHostName(host)) {
      return .DIRECT.;
      }
      if (isInNet(host, .192.168.1.0., .255.255.255.0.)) {
      return .DIRECT.;
      }
      return "PROXY 192.168.1.7:3128";
      }
      A ver si me podéis ayudar con esta información a arreglar el problema, si veis que necesitais algo más pedidmelo.

      Muchas gracias.

      1 Reply Last reply Reply Quote 0
      • pozoleroP
        pozolero Rebel Alliance
        last edited by

        Hola, has podido solucionar tu problema? Si ya lo solucionaste, podrías escribir cómo lo solucionaste?

        Saludos

        S 1 Reply Last reply Reply Quote 0
        • S
          sonerzin @pozolero
          last edited by

          @pozolero said in Problemas con WPAD y DNS:

          Hola, has podido solucionar tu problema? Si ya lo solucionaste, podrías escribir cómo lo solucionaste?

          Saludos

          Al final dejé de lado wpad, puse proxy transparente por https y con un par de reglas.

          Cuál es tu problema exactamente?

          pozoleroP 1 Reply Last reply Reply Quote 0
          • pozoleroP
            pozolero Rebel Alliance @sonerzin
            last edited by

            @sonerzin Ninguno, porque yo tengo una configuracion con wpad trabajando de lujo. Era para ver si puedo ayudarte con tu problema.

            Mi PfSense lo tengo con Squid modo no transparente, así le metan ip manual, no navegan si no es por el proxy + SquidGuard + Wpad

            Mi red la tengo de la siguiente manera:

            2 interfaces de red: WAN y LAN

            Dentro de la lan tengo Access Point para manejar las conexiones inalambricas también

            Tengo usuarios con 2 tipos de bloqueo: Jefes que no tienen bloqueo más que páginas porno y Usuarios que tienen distintos tipos de bloqueo por ejemplo porno, paginas de descarga tipo mega, redes sociales, peliculas, etc.

            Si gustas nos ponemos de acuerdo para poder ayudarte, porque si se tienen que ocupar configuraciones y archivos de configuracion para que jale el wpad de manera adecuada. Te digo yo lo tengo asi y me jala de lujo.

            Saludos

            J 1 Reply Last reply Reply Quote 0
            • J
              jperezme @pozolero
              last edited by jperezme

              Yo desistí de utilizar WPAD. Te recomiendo este video de Pedro Moreno. Esta muy bien explicado y no es necesario WPAD.
              https://www.youtube.com/watch?v=FnLLSlSjMSw&t=2882s

              pozoleroP 1 Reply Last reply Reply Quote 1
              • pozoleroP
                pozolero Rebel Alliance @jperezme
                last edited by

                @jperezme Conozco a Pedro, el famosisimo Pheriko! Con él aprendí mucho sobre pfsense.

                Ahora el problema de MITM es que es una práctica no recomendable, depende del país, podría ser penada. Ya que es exactamente como si al enviar una carta, el cartero la leyera, por ende no es una práctica recomendable y adecuada.

                Creeme, yo también pensé en eso y el problema de MITM aparte de lo que te acabo de escribir, está en ir navegador por navegador a instalar el certificado y darle aceptar...

                Por el momento, yo no he tenido grandes problemas, así que seguiré trabajando asi.

                Saludos

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.