PfSense: Squid + DansGuardian + Captive portal
-
Non puoi fare neanche vlan?
Per prima cosa io abbandonerei il captiveportal e metterei l'autenticazione su squid così elimini un primo pezzo.
Per l'autenticazione crercherei se possibile di avere un server radius.
Ciao -
Purtroppo non ho molta dimestichezza con le vlan, devo anche verificare che gli switch (di diverse marche e modelli) le supportino.
Mi sembra che abbandonare il captive portale nella mia situazione sia inevitabile. Peccato per il wifi.
Squid supporta autenticazione none (nel senso di nessuna ovvero transparent proxy, vero?), local (non mi è chiaro se intenda la propria o quella nativa di pfsense), LDAP e NTDomain (che non userò) e Radius.
Ma Radius si integra bene con Dansguardian ovvero si interfaccia indipendentemente dal tipo di autenticazione? Lo chiedo perché nella mia rete ho necessità di avere client che non richiedano autenticazione ma siano filtrati da dansguardian (ltsp fatclient con ip dinamico, per gli alunni) e client che richiedano autenticazione ma non siano filtrati (installazioni locali con ip statico, per gli insegnanti), tutti nella stessa sottorete 192.168.1.x.
Mal che vada potrei tenere la sola autenticazione squid, come ora, ma devo sperimentare in ambiente di test se replica il tutto.
Provo in questi giorni.
Grazie per le infos. -
Ho escluso il captive portal, ma anche Radius perché nella mia situazione dovrebbe bastarmi l'autenticazione squid (local).
I client prendono ip dal dhcp della eth1 del server che però risiede su altra sottorete rispetto al firewall pfsense:
Server Ubuntu
Eth1 192.168.100.1 (dhcp per i client), Eth2 192.168.1.1 (per dialogare con fw pfsense)
Firewall Pfsense
Eth1 lan 192.168.1.253 (per dialogare con il server), Eth2 wan x.x.x.x (ip pubblico)Per far navigare i client sia senza (porta 8080 filtrata da dansguardian) che con autenticazione squid (porta 3128), come devo fare secondo voi se i client prendono ip della rete 192.168.100.x e non della rete 192.168.1.x del firewall?
La cosa mi sta facendo, per ora, sclerare… :-\ -
Ciao,
il modo più banale è cambiare la subnet in 255.255.0.0 così hai tutta la classe 192.168.0.1 - 192.168.254.254
Ciao -
Scusa ma c'è un motivo per cui non fai fare da DHCP server a pfSense? A differenza di altri firewall la sezione DHCP server è anche implementata in modo abbastanza completo..
-
Ciao,
il modo più banale è cambiare la subnet in 255.255.0.0 così hai tutta la classe 192.168.0.1 - 192.168.254.254
Ciaoprovo così, grazie.
Mi viene però un dubbio su tale configurazione: se così si "vedono" le due sottoreti fra loro, cosa comporterebbe invece mettere le due eth del server sulla stessa classe? es. eth0 192.168.0.1 e eth1 192.168.0.2. Non è un po' la stessa cosa?
-
Scusa ma c'è un motivo per cui non fai fare da DHCP server a pfSense? A differenza di altri firewall la sezione DHCP server è anche implementata in modo abbastanza completo..
ciao,
perché il server è un ltsp è deve assegnare ip dinamici per far partire i client in modalità fat o thin. -
Si può fare su DHCP Windows:
https://help.ubuntu.com/community/UbuntuLTSP/LTSPWindowsDHCPQuindi credo funzioni anche su DHCP BSD..
-
Ciao,
il modo più banale è cambiare la subnet in 255.255.0.0 così hai tutta la classe 192.168.0.1 - 192.168.254.254
Ciaoprovo così, grazie.
Mi viene però un dubbio su tale configurazione: se così si "vedono" le due sottoreti fra loro, cosa comporterebbe invece mettere le due eth del server sulla stessa classe? es. eth0 192.168.0.1 e eth1 192.168.0.2. Non è un po' la stessa cosa?
-
Si può fare su DHCP Windows:
https://help.ubuntu.com/community/UbuntuLTSP/LTSPWindowsDHCPQuindi credo funzioni anche su DHCP BSD..
Credo mi incasinerebbe l'avvio dei fatclient per i servizi nbd e tftp.
-
Escludendo a priori il captive portal, ho impostato il bond del server sulla stessa subnet della lan di pfsense.
Adesso quindi la subnet è solo una e i client dialogano direttamente con il fw pfsense come proxy.
Il boot dei fatclient avviene sempre da server ltsp. Ho risolto così anche se non trovo un modo per far autenticare i client wifi che hanno impostazione automatica del proxy. Ma apro un thread a parte per questo. -
Escludendo a priori il captive portal, ho impostato il bond del server sulla stessa subnet della lan di pfsense.
Adesso quindi la subnet è solo una e i client dialogano direttamente con il fw pfsense come proxy.
Il boot dei fatclient avviene sempre da server ltsp. Ho risolto così anche se non trovo un modo per far autenticare i client wifi che hanno impostazione automatica del proxy. Ma apro un thread a parte per questo.No, non riesco in alcun modo a far autenticare gli utenti che nel browser hanno impostazione automatica del proxy. In pratica navigano liberamente e senza autenticazione come se squid fosse in transparent mode (e non lo è) e non viene tenuta traccia del traffico nei log.
Un bel buco sulla sicurezza.
Già provato con PAC/WPAD ma senza risultato.
A qualcuno è già successo?
