Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfsense proxy configuration télégram

    Scheduled Pinned Locked Moved
    Français
    2
    6
    446
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jeje_68
      last edited by

      Bonjour à tous,

      J'ai configuré un proxy transparent sur le serveur pfsense. Tout fonctionne correctement mise à part la connexion de l'application Telegram. Je sais que je dois rajouter les adresses IP de Telegram comme cela :

      149.154.1(6[0-9]|7[0-5]).(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])
      91.108.([4-7]|5[6|7]).(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9]?[0-9])

      par contre je ne sais pas ou les renseigner.

      La configuration du proxy est en splice all.

      Pouvez vous m'aider svp?

      Merci

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Le proxy transparent (avec l'option SSL_Bump) est A DECONSEILLER.

        Je préconise

        • un proxy dédié (=externe du firewall)
        • la méthode WPAD de découverte auto du proxy

        Maintenant, toutes les applications fonctionnent elles avec un proxy ?

        (Pourquoi mettre un proxy si c'est pour exclure certaines @ip ? Ca n'a pas de sens !)

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        J 1 Reply Last reply Reply Quote 0
        • J
          jeje_68 @jdh
          last edited by

          @jdh Bonjour,

          Merci pour votre réponse.

          Pour mon information personnelle pour quelle raison déconseiller vous le proxy transparent avec l'option SSL_Bump?

          Je vais suivre votre préconisation c'est à dire monter un proxy dédié avec la méthode WPAD.

          Ce que je souhaite faire au final c'est réalisé un contrôle parental, bloquer l'accès à certain site en fonction des horraires. C'est pour cette raison que je me suis tourné vers squid. A moin que vous avez une autre solution ?

          Cordialement,

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            La première chose à faire est de configurer en statique le proxy sur le PC qui accède à Telegram : on voit ainsi si Telegram fonctionne avec le proxy (explicite). Si cela fonctionne, avec WPAD, cela fonctionnera ...

            Proxy transparent et SSL_bump a été maintes fois évoqué sur ce forum.
            Il est notable que SSL_bump 'viole' l'intégrité de la connexion https en changeant le certificat : il est plus que probable que Telegram ne peut supporter ce changement ... (alors que Telegram va fonctionner probablement avec un proxy explicite ?)

            En outre, et de toute façon, SSL_bump est condamné avec HSTS ...

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            J 1 Reply Last reply Reply Quote 0
            • J
              jeje_68 @jdh
              last edited by

              @jdh
              Merci pour votre réponse.

              Pour être plus précis. le dysfonctionnement de télégram est une conséquence de la mise en place du proxy sur le réseau. Ce n'étais pas mon but initial de faire passer télégram par un proxy.

              Je me suis rendu compte que la mise en place d'un proxy sur le réseau à plus de contrainte que prévu. Dysfonctionnement de service en ligne (Netflix, Amazon,etc...) ainsi que de certains équipements (console de jeux ...).

              Mon objectif était comme évoqué précédemment de faire une sorte de contrôle parental en bloquant l'accès à certains sites web dans une plage horraire par exemple et étant donné que j'ai un firewall pfsense, je me suis dis que je pouvais m'en servir également pour ca en installant squid et squidguard.

              Je pense que je vais abandonner l'idée de faire de pfsense un service de contrôle parental en passant par squid. J'ai très certainement pas les compétences pour le faire (je ne suis pas du métier, vous l'avez certainement remarqué) ou bien squid n'est pas prévu à cet effet. Je vais essayer de trouver une autre solution.

              Je vous remercie en tout cas pour le temps que vous avez consacré à me répondre.

              Cordialement,

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by jdh

                Je suis fervent partisan de l'utilisation d'un proxy : dédié et explicite (avec WPAD).
                Je suis fervent détracteur du proxy : sur le firewall, transparent et sans 'truandage' du certificat.

                Le premier

                • ne surcharge pas le firewall (dont le rôle est de filtrer rapidement les flux),
                • est explicite et non transparent, donc fonctionne avec le VRAI certificat pour https.

                Le second

                • charge inutilement le firewall,
                • est faussement simple : la transparence ne fonctionne que pour http,
                • 'truande' le cryptage et la sécurité, en cassant le cryptage et en remplaçant le certificat.

                Pour un particulier, il est difficile de mettre en place un proxy dédié.
                En entreprise, il faut (déjà) une bonne expertise pour en créer, un correctement.

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post