PFSENSE 2.0.1, multi WAN et PROXY.



  • Bonjour a tous et merci de nous lire.
    Nous avons quelques expériences avec pfsense sur des configs simples.
    Aujourd'hui nous tentons de réaliser une passerelle multi wan avec un proxy+filtre pour les flux web.
    Nous avons bien avancé dans cette voix, grace aux tutos et au forum :
    La passerelle fonctionne, squid+squidguard est installé et configuré. Opérationnel.
    Dans système/routing nous avons nos 4 passerelles (aucune par defaut).
    Dans firewall/nat/outbound nous avons : automatic outbound nat et natté nos 3 réseaux (100.0/24, 150.0/24, 101.0/24) pour tous.
    Puis nous avons mis des regles :
    Le but de ces regles est de diriger les flux réseau en fonction des ports/services utilisés.
    Ceci a l'air de fonctionner …

    MAIS :
    -Comment rediriger les flux du proxy (en mettant une passerelle par défaut ceci ne change rien, c'est toujours la même carte qui est utilisée)
    -Pfsense ne trouve plus ses updates : Unable to check for updates
    -Nous ne trouvons pas comment rediriger les flux vers l'une ou l'autre des deux passerelles en 101.X. Il prends toujours la même (nous avons lu que cela était normale, une seule passerelle par interface, mais un souvenir d'iptables me fait penser qu'avec des tables de routage cela est possible (iproute2 et marquage des paquets)).

    Merci d'avance pour vos remarques et informations.
    Pouvez vous nous donner des pistes ?
    (un jpg est attaché au post)




  • bonjour,

    premièrement je vais cité jdh cela m'évitera de tout retaper :

    @jdh:

    Je vais écrire, pour la N+1 fois, pourquoi il faut éviter de mettre le proxy sur le firewall !

    • les packages sont des addons qui n'ont AUCUNE garantie de bon fonctionnement : à vos risques et périls !
    • ce n'est pas parce qu'un package existe qu'il faut l'utiliser !
    • le job de 'proxy' nécessite d'autres ressources que le job de 'firewall' !
    • un proxy exige beaucoup de mémoire, un disque rapide et ne présente pas d'obligation de réponse immédiate !
    • un firewall exige un temps de réponse stricte donc une dispo processeur immédiate !
    • un firewall exige de la mémoire pour suivre les sessions (conntrack) !
    • un firewall n'a pas besoin de disque pour traiter les sessions qui le traverse ! (et ne pourrait pas stocker quoi que ce soit).
    • les logs de firewall sont petits : refus/accord de session, …
    • les logs de proxy sont énaauurmes rapidement
    • un proxy (Squid) doit être complété de SquidGuard pour les blacklists (encore un besoin mémoire)
    • un proxy doit être complété d'un outil de visu des logs (encore un besoin mémoire)

    Je pense qu'utiliser pfSense uniquement pour le package proxy est un dénaturation totale !
    Autant installer directement sur la machine une Debian + Squid + autres outils !

    ensuite pour ton proxy : transparent? authentifiant??



  • @zoummuoz:

    Aujourd'hui nous tentons de réaliser une passerelle multi wan avec un proxy+filtre pour les flux web.
    Nous avons bien avancé dans cette voix, grace aux tutos et au forum :
    La passerelle fonctionne, squid+squidguard est installé et configuré. Opérationnel.

    Comme Jdh, cité précédemment je déconseille, le mot est faible, le proxy sur le firewall.

    Pfsense ne trouve plus ses updates : Unable to check for updates

    Avez vous vérifié le bon fonctionnement de la résolution dns ?

    -Nous ne trouvons pas comment rediriger les flux vers l'une ou l'autre des deux passerelles en 101.X. Il prends toujours la même (nous avons lu que cela était normale, une seule passerelle par interface, mais un souvenir d'iptables me fait penser qu'avec des tables de routage cela est possible (iproute2 et marquage des paquets)).

    Pfsense n’utilise pas iptables.
    Avez vous considéré l'ajout, dans les règles, de la gateway à utiliser ?

    Est il normal que vous utilisiez, pour votre adressage interne, le numéro de réseau de Netcologne.de qui est une plage publique assignée à cette entreprise ?



  • @ccnet:

    Est il normal que vous utilisiez, pour votre adressage interne, le numéro de réseau de Netcologne.de qui est une plage publique assignée à cette entreprise ?

    bien vu j'avais pas fait attention…

    pour un réseau local utilise les plage d’adresse privé (après à toi de voir quel classe utilisé selon le nombre de poste , plan d'adressage...) à moins que tu ai vraiment une raison particulière mais je ne voit pas comment.

    rappelle des plages réseaux privé :

    classe à privé : 10.0.0.0 /8

    classe B privé : de 172.16.0.0 à 172.31.0.0 /16

    classe C privé : de 192.168.0.0 à 192.168.255.0 /24



  • Merci a tous pour votre intérêt - j'avais pourtant coché 'me prévenir en cas de réponse …' mais peut être un antispam ...

    OUI -> ma plage interne est ... comme elle est. J'hérite et n'ai pas choisi. J'espere pouvoir faire une manip d'envergure (vu le nombre de materiel actif que je trimbale) et passer en classe C un jour.

    J'ai bien pris la mesure de vos remarque concernant le melange des genres ... PROXY+SQUIDGUARD(blacklist toulouse)+FIREWALL est pour ce type de réseau a proscrire. Je vais donc acter en votre sens et mettre deux machines.

    J'ai cette solution qui fonctionne pour une centaine de users sur un vieux DELL SC600 gavé de mémoire. J'avoue que je n'ai constater suite à sa mise en place que des accélérations. PFSENSE est un EXCELLENT travail !

    Ici c'est pour une centaine de users aussi.

    Oui CCNET -> les DNS causent !
    Avez vous une approche ou une solution pour les deux passerelles sur la même plage d'adresse ? Oui CCNET j'ai bien utiliser ce principe, mais il prend toujours la passerelle par défaut du LAN considéré, meme si je ne la met plus par defaut (SYSTEME-ROUTING ...)

    Grand merci pour votre intérêt.


Locked