Erreur Outlook - Pfsense squid



  • Bonjour tout le monde,

    J'a mis en place un proxy sur mon pare feux pfsense et il s'avère que je rencontre quelques petits problèmes avec Outlook et outlook online. Aléatoirement j'ai des déconnexions et après quelques minutes elle revient.

    J'ai suivi ce tutoriel : https://www.pc2s.fr/pfsense-proxy-transparent-filtrage-web-url-squid-squidguard/

    Je ne sais pas comment débugger le problème !
    Merci à tous de votre aide.



  • Normal et logique !

    'J'ai suivi un tuto' ! Suivre un tuto sans en comprendre les idées est, forcément, un échec assuré !

    Ce tuto propose l'install d'un proxy sur pfSense avec le mode transparent et l'interception SSL (https) : tout pour avoir des échecs aujourd'hui (et demain).

    Je préconise un proxy non transparent et sans interception SSL, et idéalement hors de pfSense (proxy dédié).
    Cela offre d'immenses avantages :

    • simple à utiliser, grâce à WPAD
    • efficace : possibilité d'utiliser la liste de Toulouse
    • traite http et https (pour le refus d'accès)
    • honnête : présentation du certificat réel du site visité et non un certificat interne
      Cela présente pas ou peu d'inconvénients.
    • ne fonctionne pas sur certains android qui ne connaissent pas WPAD

    Un tel proxy fonctionne sans difficulté avec Outlook.com



  • Bonjour jdh,

    Effectivement j'ai des lacunes dans certains domaines en informatique et j'ai vu à mainte reprises que pfsense en tant que proxy n'était pas terrible.

    Pouvez-vous m'expliquer pourquoi avec pfsense ça ne fonctionne pas ?
    Des noms proxy que je peux utiliser et que vous me conseillé, nous sommes 30 salariés.

    Merci



  • Salut salut

    Ce n'est pas un problème que cela ne fonctionne pas, mais que cela n'est pas des plus sécure et quelques soit la structure.

    D'autre part, je vous invite à vous documenter sur les bases d'usage et déploiement d'un proxy tel que squid pour ne pas le nommer.
    Et d'autre part, de comprendre le pourquoi du comment on utilise tel ou tel paramètre et pas tels autres.

    Une autre chose, ne pas suivre comme un mouton une howto quelqu'il soit sans comprendre et ni recopier bêtement les paramètres utilisés si non expliquer du pourquoi ils sont là.

    C'est la base de votre problématique et aussi 99% de la solution de celle ci.

    Nota je ne donne pas "La" réponse mais une approche de réflexion sur le sujet, et tenter de dépassionner le débat qui couve aussi.
    De même, vu votre taille (entreprise/users) vous avez aussi d'autre problématique, légal à prendre en compte je pense aussi à la cnil et les lois en découlant pour les sociétés ayant un cadre juridique hexagonale.

    Dans votre cas plus précisément, oui vous pouvez intégrer le plug in squid disponible avec pfsense, mais ne perdez pas de vue les informations et pistes que évoqué plus haut dans mon propos.
    Squid est un service qui est aussi gourmand en espace de stockage à long terme pour les log étant donnée les obligations, donc a penser dans le dimensionnent du serveur pfsense lui meme , voir redigirger ces log vers un autre storage pour annalyse (elastik search)



  • Bravo, connaitre et reconnaitre ses limites est le début de leur dépassement ! (Qui n'a pas de limites ? Pas moi.)

    Tatave donne un bon début de réponse : sensé et avec du sens.

    Un proxy basé sur de la transparence et de l'interception SSL est voué à l'échec.

    Un proxy transparent est un proxy non explicite : on passe dedans sans le savoir ! C'est très limité parce que cela ne fonctionne qu'avec HTTP, or la majorité des sites sont en HTTPS.

    L'interception SSL est destiné à faire du transprent en mode HTTPS. Pour ce faire, il faut 'casser' la sécurité SSL, le S du HTTPS, et par conséquent remplacer le certificat initial par un autre qui sera accepté par les micros internes : ceux ci accepteront n'importe quel certificat sans pouvoir vérifier le certificat d'origine, ce qui devrait être toujours fait ! De facto, il est impossible de vérifier la sécurité initiale du site, et bonjour les faux sites ! C'est très dangereux et menteur. De plus les sites HTTPS migrent vers un petit complément (HSTS) qui empêchera la casse !

    Je ne reviens pas sur la nécessité de disposer d'un proxy dédié au lieu de surcharger le firewall. Pour 30 utilisateurs, il est probable que vous avez un serveur virtualisé, alors une VM de plus ne devrait pas poser de problème. Réaliser un proxy dédié est instructif (mais exigent et ça rebute certains) : on peut partir d'une simple Debian Buster, installer Squid, SquidGuard, LightSquid, et s'inspirer des fichiers de conf de pfSense.


Log in to reply