Installation de package derriere un proxy



  • Bonjour,

    J'ai installe PFSense dans un LAN qui utilise un proxy pour sortir sur internet. Les postes qui passent par PFSense accedent bien à internet grace a leur configuration qui indique l'adresse du proxy. Cependant, pour installer un package dans PFSense, j'ai l'erreur "Unable to communicate to pfSense.com. Please check DNS, default gateway, etc.". Les logs indiquent que PFSense essaie de se connecter au serveur pfsense.com directement en port 80. Comment lui indiquer d'utiliser le proxy incontournable du LAN ?

    Merci d'avance.



  • J'ai installe PFSense dans un LAN qui utilise un proxy pour sortir sur internet

    Que fait un firewall derrière un proxy dans un lan ?
    Probablement encore un cas où l'on tente d'utiliser un marteau pour poser une vis. Forcément l'on fini pas se taper sur les doigts.



  • On ne fait pas toujours ce que l'on veut dans un reseau où l'on doit composer les choix qui sont en place… Avec tout le respect que je dois aux membres de ce forum, merci de m'apporter une solution et non pas de critiquer ma configuration. S'il y possibilité d'une installation manuelle merci de me l'indiquer.



  • Vous demandez une recette pour cuire un steak avec un congélateur. Forcément ce n'est pas évident. Vous ne prenez même pas la peine d'expliquer où vous voulez en venir. Vous voulez juste une recette toute faite à l'aveugle.

    merci de m'apporter une solution et non pas de critiquer ma configuration

    Une solution c'est quelque chose qui marche avec les bons outils à la bonne place. Or ici ce n'est pas le cas sauf a être plus amplement informé. Quand une solution n'en est pas une (ici comme vous le voyez ca ne marche pas) je le dis. C'est aussi pour cela que l'on me paye. Ici c'est gratuit, vous devriez en profiter en expliquant votre besoin.

    Une installation manuelle de quoi ?



  • @ccnet : Je suis au regret de vous dire que malgre vos competences certaines, votre ton ne plait pas.

    Ma requete est simple : installer un package dans pfsense ; pfsense est derriere un proxy ; pour obtenir la liste des packages, il lance une requete sur le port 80 ; forcement, celle-ci n'aboutit pas ; quelles sont les possibilites ? je pensais notamment à télécharger le package qui m'interesse depuis un poste, le telecharger sur pfsense et l'installer, mais je ne sais pas si cette procedure est, ni comment la realiser.



  • Hélas (pour gg) le point de vue de ccnet est précisément celui qui est le bon ! (C'est souvent le cas pour ne pas dire toujours !)
    pfSense est conçu pour être en direct sur Internet.
    Autrement dit, pfSense n'est pas conçu pour utiliser un proxy (pour télécharger un package).

    Je note que votre description est extrêmement légère.
    Je note que vous avez déjà pointé le problème (semble-t-il).
    Il est regrettable que vous n'acceptiez pas une réponse parce qu'elle ne vous plait pas, alors qu'elle est la bonne.
    Il serait dommage que cela dégénère …

    Maintenant, forcément, le script de téléchargement de paquets se déroule en deux temps :

    • téléchargement,
    • installation du paquet.
      En trouvant où est ce script, en analysant celui-ci, il devrait être possible soit d'ajouter une variable genre http_proxy soit de découper le script en 2.
      Dans le 2ième cas, on peut imaginer télécharger le paquet manuellement, transfert par scp sur pfSense, et lancement manuel de la 2ième partie.

    Si vous cherchez dans ce sens, il sera judicieux d'indiquer le résultat de votre progression ...



  • Merci pour votre reponse moderee. En utilisant les bons mots-cles, j'ai effectivement trouve que plusieurs se sont poses la question, mais que la solution n'est pas implementee.
    http://forum.pfsense.org/index.php/topic,6834.0.html
    http://forum.pfsense.org/index.php/topic,6381.0.html



  • Finally I succeed by tunneling connexion to pfsense.com/80 to an outside PC.

    I used a Linux box, but Putty under Windows should work. I used a PC in another LAN without proxy, but a PC within pfSense LAN may work with more tricks.

    my configuration:

    • a computer with a direct access to internet (behind a firewall is OK)
    • SSH activated on pfSense
    • pfsense is directly accessible to internet (address xx.xx.xx.xx, port 22)

    my rocedure:

    my results:

    • vnstat package installs
    • squid package fails (connexion to other web site, need more tricks)


  • Ta question n'est pas si absurde que ça… J'utilise moi-même pfsense derrière un proxy. C'était le but, pour contourner le proxy pour mes machines qui sont bloquées derrière justement.

    Internet--------Proxy-------pfsense-------PS3-MacBookPro-iPod....

    En fait j'ai configuré un client openvpn sur pfsense (qui lui gère les proxy, tiens étrange pour une configuration qui n'est pas faite pour) pour qu'il se connecte à un serveur openvpn extérieur, du coup, tous mes périphériques accèdent à ce qu'ils veulent en terme de sites et ports réseaux, alors que le proxy n'accepte que le 80 et 443 et me bloque Facebook et autres youtube.

    Donc pfsense derrière un proxy, dans certaines configurations ce n'est pas du tout une hérésie !

    Pour le pb d'installation des packages, du coup chez moi pas de soucis puisqu'OpenVPN bypass le proxy. Sache qu'il existe des serveurs OpenVPN gratuits qui souvent ne donnent accès qu'au web et sont limités en bande passante mais dans ton cas ça serait parfait. PM moi si tu veux un nom. Ca revient un peu au même que ton tunnel SSH mais ça évite d'avoir à configurer une machine extérieur.



  • Ou comment "ce n'est pas une hérésie" de contourner la politique de sécurité de l'organisation à laquelle on appartient.



  • (Encore une fois, ccnet donne le ton juste !)

    Est ce bien responsable de donner une recette pratique de contournement d'une stratégie réseau ?

    Il est notable que cette recette ne repose que sur un contrôle absent : si le proxy est configuré pour refuser au pfSense d'établir son tunnel, cela ne fonctionne plus !
    Or, il est vraisemblable que, dans un réseau sérieusement managé,

    • on fournit des adresses ip fixes à telle ou telle machine, y compris via DHCP,
    • on regarde le volume transféré via un proxy, donc pour telle ou telle machine,
    • on blackliste certains sites pour des raisons de sécurité (des sites OpenVPN y sont vraisemblablement répertoriés),
    • on blackliste manuellement ce qu'on veut,
    • il existe des logiciels (très simples) permettant de détecter l'usurpation d'adresse ip.

    Il n'empêche, pfSense est conçu pour être connecté à Internet soit directement soit par VPN, et récupère ses paquets sans passer par un proxy.

    Même s'il est assez incongru de passer par un proxy (puisque ce n'est pas prévu pour), la piste que j'indique n'est pas forcément difficile …

    On peut imaginer que le sujet initial est le test de pfSense et sans maitrise du firewall. C'est déjà un peu scabreux.
    Alors mentionner un contournement encore plus scabreux parait déplacé ...



  • Va tenir ce discours aux millions de chinois qui utilisent des accès OpenVPN  ;D
    Et je ne parle pas des tunisiens qui les utilisaient en masse avant la révolte…

    Pour tout te dire, je vis sur mon lieu de travail (pas d'ADSL possible) et le proxy n'est là que pour limiter les accès à internet pour les gens qui bossent. L'orque je rentre chez moi, je suis content de pouvoir être libre de l'utilisation d'Internet. Passant par un VPN, je prend la responsabilité de l'information qui circule et cela ne dérange personne (c'est le soir, la nuit, le week-end).
    Si l'administrateur réseau ne s'est pas donné les moyens de détecter les VPN (Application Firewall, surveillance de la bande passante...) c'est que leur utilisation de le dérange pas. Et je sais être raisonnable et je ne fais pas non plus n'importe quoi. Tout ce que je demande c'est de pouvoir mettre à jour mon statut Facebook avant d'aller me coucher.

    Bref, je voulais simplement apporter mon expérience de mon utilisation de pfsense, si elle ne vous convient pas, vous n'avez qu'à empêcher les gens de télécharger l'iso depuis les IP qui sont derrière des proxy  :P



  • @Yoc:

    Va tenir ce discours aux millions de chinois qui utilisent des accès OpenVPN  ;D
    Et je ne parle pas des tunisiens qui les utilisaient en masse avant la révolte…

    Tenons nous en aux faits. Nous sommes en France.

    Pour tout te dire, je vis sur mon lieu de travail (pas d'ADSL possible) et le proxy n'est là que pour limiter les accès à internet pour les gens qui bossent. L'orque je rentre chez moi, je suis content de pouvoir être libre de l'utilisation d'Internet. Passant par un VPN, je prend la responsabilité de l'information qui circule et cela ne dérange personne (c'est le soir, la nuit, le week-end).

    Si l"accès à internet est prévu dans ces conditions il y a sans doute une raison. Bonnes ou mauvaises ces raisons sont le reflet d'un politique de sécurité à laquelle vous contrevenez.
    Vous ne prenez la responsabilité de rien du tout. Votre employeur vous a til fait signer un document dans ce sens : vous autorisant sous votre responsabilité à agir ainsi ? Il semble que non. Votre employeur est donc pénalement responsable de l'usage que vous faite d'internet.

    Si l'administrateur réseau ne s'est pas donné les moyens de détecter les VPN (Application Firewall, surveillance de la bande passante…) c'est que leur utilisation de le dérange pas. Et je sais être raisonnable et je ne fais pas non plus n'importe quoi. Tout ce que je demande c'est de pouvoir mettre à jour mon statut Facebook avant d'aller me coucher.

    C'est vous qui le dites que vous ne dérangé personne. Même si l'administrateur n'a pas connaissance de vos agissements, rien n'indique qu'il les approuve. Compte tenu des dispositions existantes, j'ai toutes les raisons de croire le contraire. La négligence éventuelle de l'administrateur ne peut être tenu pour une acceptation du contournement de la politique de sécurité.

    Bref, je voulais simplement apporter mon expérience de mon utilisation de pfsense, si elle ne vous convient pas, vous n'avez qu'à empêcher les gens de télécharger l'iso depuis les IP qui sont derrière des proxy  :P

    Je n'ai ni le pouvoir, ni l'envie d'agir de la sorte. L'utilisation faite de Pfsense n'a pas à me convenir ou pas. Je suis simplement partisan du respect des politiques de sécurité des organisations dont chacun de nous peut être un collaborateur. Lorsque je me rend chez un client dont la politique de sécurité est gênante pour la mission que j'ai en charge, je m'en explique avec lui pour trouver des solutions. Je ne commence pas par tenter de contourner cette politique de sécurité.

    Je me doute que n'avez que faire de ces commentaires, puisque l'essentiel est de dormir tranquille avec un profil Facebook à jour. Je m'adresse plutôt aux administrateur et personnes en charge de politiques de sécurité pour faire sentir la distinction entre l'intérêt privé et aveugle d'un individu et les besoins, contraintes de l'organisation. Ce faisant il ont une idée des risques internes qui existent.



  • +1



  • Si tu veux vraiment installer certains packages, le plus simple est de connecter ton pfsense directement a internet … tu le passeras ensuite en prod derrière ton proxy.

    Plug le discretos dans un cyber café ! :D



  • Bonjour à tous,

    je me posais exactement la même question que ce jeune homme et quelle ne fut pas ma surprise quand j'ai lu les commentaires. A croire que la quasi-totalité des protagonistes ayant répondus qu'on ne met pas un Firewall n'ayant pas accès à internet n'ont jamais passés le palier de la PME…. (et certains ont même abusé des métaphores, vraiment n'importe quoi le coup du steak ^^)

    Chez les client avec des grosses infrastructures, il n'est pas rare (vraiment pas rare puisque ca concerne au moins 20 de mes clients) d'avoir plusieurs couches de zones de sécurité spécialisées (zone de rupture protocolaire, zone de comptes, zone de services) . On trouve parfois 3 couches de firewalling. Après on peut discuter pendant des lustres de l'organisation d'un réseau, mais après 14 ans de consulting, vous allez pas me la faire à l'envers :p

    Certes on utilise pas de pfSense dans ces infras, mais ce n'est pas le sujet. le sujet étant, on peut avoir un Firewall qui n'a pas accès à Internet (heureusement en termes de sécurité).

    Peu importe.

    Je suis confronté à un autre cas, une infrastructure ESX de maquette avec un Firewall pfSense (c'est pas cher à virtualiser), sur laquelle j'ai besoin de récupérer des packages :/ . Comme quoi, encore un cas ou on a ce besoin fonctionnel.

    Donc, je m'en vais chercher ailleurs :D . mais bien que ce topic date un peu, je tenais à rassurer le pauvre gars qui a posé la question, qu'elle est loin d'être bête, que ca arrive, même dans la vrai vie, et qu'il ne faut pas écouter les détracteurs surtout quand leurs compétences ne dépassent pas le réseau du lycée ;)



  • Il est établi que

    • pfSense est conçu pour downloader ses packages "en direct" sur Internet,
    • si pfSense est derrière un proxy, il n'est pas "en direct",
    • il n'y a nul part une zone de saisie pour spécifier un proxy pour downloader les packages.

    (C'est comme cela)

    Puisque vous êtes si fort Monsieur tugs,
    pourquoi ne proposez vous pas votre aide pour ajouter cette zone de saisie d'un proxy pour le download des packages ?
    (A moins que ce soit de la provocation ?)

    L'analogie avec un marteau pour des vis ou un congélateur pour cuire un steack n'est là que pour faire comprendre que, ce qui est logique, c'est d'utiliser les bons outils.
    Il est établi qu'utiliser l'outil adapté est toujours plus efficace que de bricoler.

    Par ailleurs, il est à noter que les packages ne sont que des compléments, pas forcément utiles (et sans garantie) à l'activité de firewall proprement dit : pfSense dispose nativement de ce qu'on peut attendre pour un firewall dans sa fonction native de filtrage de flux.


Locked