Utilizzo Proxy pfsense tramite OPENVPN



  • Buongiorno a voi,
    spero possiate aiutarmi... utilizzo il mio Firewall PfSense anche come proxy internet con successo per i client desktop, notebook, in generale quegli apparati dove poter impostare il proxy nella configurazione del browser. Il problema nasce quando utilizzo OPENVPN da dispositivi IOS oppure Android chiudendo la mia VPN sul Firewall/Router PfSense: non c'è verso di passare per il Proxy (PfSense stesso), quindi non riesco ad assoggettare la navigazione di questi dispositivi alle regole di Squid. Mentre sempre con OPENVPN con client Windows o MAC, impostando ip Proxy sul Browser sulla porta 3128 tutto va da Dio. Secondo voi c'è modo di risolvere il problema?

    Grazie per l'aiuto che potrete

    Gianmario



  • Ciao,
    non sono un grande conoscitore di squid, ma se non ricordo male devi fare in modo che il bind di squid avvenga su più interfacce , nel tuo caso lan + openvpn oppure su localhost. Di default dovrebbe essere solo sulla lan.
    Prova anche a verificare se puoi sfruttare il parametro tcp_outgoing_address nella sezione advanced.
    Ciao Fabio



  • Ciao Fabio,

    Innanzi tutto grazie per l’attenzione e per la risposta. Riguardo il Bind di Squid ho solo due opzioni su Proxy Interface: LAN e WAN. Se sai come aggiungere OPENVPN come interfaccia ben venga. Io non l’ho capito. Mi puoi chiarire meglio per cortesia cosa dovrei inserire esattamente? Intendi in Advanced fregature? Grazie Gianmario



  • Ciao,
    come ti ho scritto non sono molto esperto ma di base, affinchè tu possa usare il proxy su una certa interfaccia, devi fare in modo che il proxy sia in ascolto su quell'interfaccia.
    Se non ricordo male, in squid, hai una lista dove puoi selezionare più interfacce tenendo premuto il tasto CTRL
    Se non hai l'interfaccia openvpn allora devi andare in interfaces > assignements e creare una nuova interfaccia selezionando come Network Port ovpns1. La nuova interfaccia si chiamerà OPT1 ma la puoi rinominare come vuoi.
    Ricorda che se attivi una nuova interfaccia devi andare a impostare le rules non più sotto OpenVPN ma sotto la nuova interfaccia che andrai a creare (es: OPT1). Tutte le regole che attualmente hai sotto OpenVPN devono essere rimosse.

    Ciao Fabio



  • @saleg,
    sei riuscito a risolvere?



  • Ciao Fabio,

    No. Niente da fare. Ho seguito le tue indicazioni creando una nuova interfaccia denominata IVPN e assegnandola a "ovpns 1()" al posto del MAC da "interfaces". A quel punto su Squid ho selezionato LAN e IVPN. Ovviamente sulle regole del Firewall ho disttivato quelle di OPENVPN e sono andato a selezionare IVPN ed ho inserito le sueguenti regole:

    source la network VPN 10.0.0.0/29 TCP/UDP porta any dest network 192.168.100.1/30 (proxy e gateway LAN del Firewall nella mia configurazione) porta http 3128 e https 3129. Niente da fare. sta lì ci pensa e poi dice "impossibile raggiungere il sito". Sia il trace che il ping non funzionano per esempio sul DNS di Google. Non so proprio dove sbaglio.

    Ho provato ad assegnare anche "ovpns 2 ()" ma niente. Come sopra.

    Non ne vuole sapere. Grazie per la tua attenzione Gianmario



  • @saleg quindi il problema non è il proxy perché ping e traceroute non passano dal proxy.
    Sei sicuro di avere regole che permettono di fare traffico dalla vpn verso internet? Hai configurato il Nat outbound?
    Fabio


Log in to reply