PfSENSE DERRIERE PROXY AMON



  • Bonjour,
    voici ma config:
                                        LAN
                                          |
    PROXY AMON–----------------
                                          |
                                      PFSENSE
                                          |
                                    Wireless LAN

    Pour le lan nous sommes obligés de définir le proxy SSL dans le navigateur pour pouvoir sortir en https et pour le WIRELESS LAN nous sommes obligé de définir dans les paramétre proxy SSL l'adresse de l'amon ainsi que son port pour pouvoir sortir en https.
    Comment faire en sorte pour que cela soit transparent pour le wireless LAN.

    Merci de vos réponse.



  • https et transparent sont contradictoires.

    Il doit être possible de chainer les proxy (notion de cache hierarchy / ICQ) y compris si celui près du client est transparent … A vérifier



  • En ce qui me concerne j'ai réussi en installant Squid sur la pfsense. Intérêt de Squid : l'option "upload proxy" qui redirige le traffic vers l'autre proxy.
    Squid est donc configuré en mode transparent sur Pfsense, toutes les autres options sont laissées par défaut.
    Question tout de même : pourquoi utiliser un mandataire pour le https et pas pour le http ?



  • Parce que le mandataire pour le http est configuré en mode transparent.
    J'ai peut être une solution qui est presque transparente pour l'utilisateur (WPAD), il n'a juste qu'a configurer son navigateur en détection automatique du proxy.



  • En fait je vais garder WPAD sous la main mais j'aimerai une solution ou l'utilisateur n'aura rien a faire.
    En effet je ne sais pas si c'est normal mais le client doit fermer puis réouvrir son navigateur après l'authentification sur le portal captif pour que les paramètres proxy soit prit en compte en automatique.

    Si quelqu'un a une piste ?

    Sinon avec squid je n'ai pas trouver l'option upload proxy mais l'option upstream proxy et il faut toujour définir le proxy ssl dans le navigateur.

    MERCI.



  • Pour squid effectivement il s'agit de "upstream proxy". Bref, désolé si cela ne fonctionne pas.
    une piste peu être le protocole ICP mais je ne l'ai jamais mis en oeuvre.



  • RE RE BONJOUR, ;D

    Voila mon nouveau problème :

    Tout fonctionne parfaitement avec firefox que ce soit au niveau de l'exception https  (ajouter l'exception qu'une seul fois dans le navigateur)et de WPAD (détection automatique du proxy ok dés le démarrage du navigateur).
    Mais sa se corse avec IE, j'ai le même fichier wpad.dat mais je n'arrive pas a accéder a la page d'authentification et si je fais une exception sur le proxy pour le nom d'hôte pfsense (page d'auth =https://pfsense:8001) cela fonctionne mais pas pour firefox.
    L'autre problème est qu'on est obliger d'ajouter l'exception de sécurité sur IE a chaque connexion (sa devient lourd et oui j'ai accès a la page d'auth si je met pas de proxy dans le navigateur).
    Je pense à un problème de certificat ?
    Je penserai a copier le fichier .pem et le .key en dure sur pfsense et non par l'interface graphique mais je ne retreouve pas le dossier contenant les certificats (commande find ne fonctionne pas ?)

    Je doit finir le portail captif  pour demain sinon on repasse a l'ancienne configuration (Ipcop plus COPSPOT) solution nickel hormis le fait que l'on n'arrive pas a filtrer que ce soit au niveau du proxy et au niveau de parefeu.

    RE RE MERCI DE VOTRE AIDE  ::)


Log in to reply