Pfsense - error ssl et portal captif



  • Bonjour,

    Quel que petit soucis avec Pfsense pas méchant mais que j'aimerais corrigé.

    1 - J'ai l'erreur SSL_ERROR_RX_RECORD_TOO_LONG avec l'utilisation de squid
    Il y a des regles dans le par feu a effectuer ? les seuls regles que j'ai accepter c'est TCP/UDP port 80 et 443, et le DNS en port 53
    J'utilise un LAN, et un Wifi, le WAN tout est bloquer d'origine j'ai rien toucher.
    SSL man in the middle filtering
    https/ssl interception --- Activer
    SLL/MITM mode --- Splice all
    SLL Intercep interfaces --- Wifi - Lan
    SSL proxy port --- 3129
    ssl proxy compatible --- Modern
    AC -- Demo AC ( certificat effectuer et installer sur la vm, certif ACs. )

    2 - le 2eme soucis c'est la redirection de page avec l'authentification du portail captif qui fonctionne pas, ça me redirige https://172.16.1.251:8003/www.google.fr. l'authentification fonctionne et je peut utiliser internet .

    3 - pour autoriser une machine par exemple 172.16.1.20 en ip , a ne pas subir la blacklist de squid ,
    Dans :
    ---Services/Squid proxy server,
    -----Transparent proxy setting,
    ------- Ligne Bypass for these source Ips , je rentre les ip ici pour éviter le filtrage. c'est la bonne pratique ?

    Merci dernier sujet ou je bloque pour le moment, surtout l'error ssl :(



  • @Romain71 said in Pfsense - error ssl et portal captif:

    1 - J'ai l'erreur SSL_ERROR_RX_RECORD_TOO_LONG avec l'utilisation de squid
    Il y a des regles dans le par feu a effectuer ? les seuls regles que j'ai accepter c'est TCP/UDP port 80 et 443, et le DNS en port 53

    A vous lire plusieurs choses ne sont pas comprises.
    Lier cette erreur à des questions de règles de filtrage n'a aucun sens. Cette erreur est caractéristique d'un problème de configuration http / https. Cette erreur est souvent peu explicite en réalité, elle, peut provenir de nombreuses raisons, mais pas en fonction du filtrage. C'est une erreur applicative (couche 7) et non réseau (couches 3 / 4).

    Ensuite tcp/udp 80 et 443 pour la navigation, non il n'y a aucune opération concernant le navigation en udp. En ce qui concerne la résolution DNS, tout dépende votre configuration. Normalement dns n'est pas nécessaire pour les machines internes, c'est même potentiellement très dangereux. La résolution devrait se faire sur un dns interne maitrisé. Lui même requêtant des dns externes.



  • ça ne s'applique probablement pas ici mais HTTP 3.0 introduit, en autres choses, de l'HTTP en UDP 🙄
    Nous n'avons pas fini de nous amuser, de toute évidence.
    Ce n'est pas tout à fait du HTTP traditionnel puisque au dessus de QUIC
    https://en.wikipedia.org/wiki/QUIC



  • De la même façon que Microsoft et bien d'autres poussent le dns encapsulé dans https (dns over https).
    Dans les deux cas en pratique nous n'y sommes pas.



  • This post is deleted!

Log in to reply