Trouble HTTPS double NAT
-
Bonjour à tous,
voici une bref explication de mon problème.
Les poste clients derrières le pfsense ont du mal avec les connection HTTPS vu le double NAT.
Pour ne pas avoir de problème avec les connections https, je doit ajouter l'adresse ip du site HTTPS dans les static route avec comme passerelle 12.23.1.1 et ensuite plus de problème.Y'aurait-il une meilleur solution que d'ajouter chaque site https manuelement, car sa fait beaucoup de travail.
Merci et bonne journée.
- Michel
-
Rien ne vous oblige à faire du nat sur Pfsense.
Est il normale que vous utilisiez des adresses ip appartenant à AT&T WorldNet Services ? A moins que ce soit un exemple.
-
seulement un exemple :)
mon but avec le pfsense est d'avoir un 2eme firewall pour filtrer les torrents.
et ensuite utiliser squid et squidguard.si j'utilise la fonction de pfsense:
Disable all packet filtering.
Note: This converts pfSense into a routing only platform!
Note: This will turn off NAT!est-ce que le firewall et proxy seront toujours actif ?
j'imagine qu'il ny aura plus de firewall ?Merci!
-
Si votre objectif est celui annoncé dans ce dernier message, c'est à dire filtrer du contenu http, alors l'architecture choisie est impropre. Comme vous le voyez elle génère plus de problème qu'elle n'en résoud parce que vous n'utilisez pas les bons outils aux bons endroits.
Montez un proxy Debian + Squid + Squidguard et tout ira bien. -
un de mes objectif est de filtrer.
mais je veux avoir le control d'un firewall a l'interne.
pour les ports etc.Le tout fonctionne très bien exepté les https, les connection par proxy http et ftp fonctionne bien.
Si je veux me brancher vpn pptp même problème que https. -
Si vous n'avez aucun contrôle sur le Checkpoint, c'est illusoire. Vous n'aurez en fait aucun contrôle. Sans compter avec les sources d'erreurs d'une administration incohérente de l'ensemble qui vont mener tout droit à des problèmes.
De toutes façon le proxy n'est pas à sa place sur le firewall pour de multiples raisons que nous sommes plusieurs à avoir détaillées sur ce forum.
Filtrage de contenu par un proxy, c'est nécessairement une machine autonome configurée pour ce travail. On ne plante pas de clous avec un tournevis. -
J'ai un certain control sur le checkpoint, mais je dois passer par un consultant. Délais assez long.
Donc j'ai besoin un solution à l'interne pour gérer un pare-feu et un proxy pour mes poste clients.Est-ce qu'il y a moyen de faire passer mon https avec une double nat comme je suis présentement, car j'aime bien l'interface de pfsense pour gérer squid et squidguard et les autres ne connaisse pas Linux nécessairement.
-
j'ai fait un petit test, si j'active cette fonction, plus de problème avec https.
Disable all packet filtering.
Note: This converts pfSense into a routing only platform!
Note: This will turn off NAT!Mais le pareufeu ne fonctionne plus ainsi que le proxy transparent. :(
-
second test que j'ai fait si j'enlève le proxy du mode transparent et l'ajoute manuellement dans Internet Explorer ou Firefox, les download https fonctionne bien…..
donc quelqun saurais un moyen de faire fonctionner de la même manière le proxy en mode transparent
-
Il est archi connu que "proxy transparent" ne fonctionne que pour "http" !
Au besoin, il faut juste savoir comment fonctionne https pour comprendre que l'on ne peut faire un proxy transparent pour https.
-
je sais bien mais je veux le faire pareil :)
je crois que je vais activer OPT et redirger le 443 dessus qui sera directement relier a internet pour éviter le problème :)