PfSense derrière un proxy



  • Bonjour,

    Je viens de mettre en place pour la première fois pfSense sur un deuxième réseau local (LAN 2). Ce nouveau réseau local passe par un premier réseau local (LAN 1) déjà en place où je n'ai pas la main dessus. Pour que les clients puissent profiter du web, ils doivent nécessairement passer par un serveur proxy (sans authentification).

    Voici le schéma de l'infrastructure réseau :

    [WEB]–--[Réseau LAN 1 avec proxy]–--[mon pfSense]–-[mon réseau LAN 2]

    Je ne peux pas contourner le réseau LAN 1 en amont.
    Je dois nécessairement passer par lui, et pour profiter du web, passer par le serveur proxy de ce LAN 1.

    Dans pfSense > System > General setup > Miscellaneous > Proxy support :

    • URL du proxy LAN 1 spécifié
    • port du proxy LAN 1 spécifié

    Tout fonctionne dans le sens où : pfSense à accès à Internet.

    Seulement : les clients ne peuvent pas accéder à internet tant qu'ils ne spécifient pas manuellement le serveur proxy du LAN 1 sur leur poste ! Ce qui est plutôt gênant.

    Je pensais qu'en spécifiant un serveur proxy dans l'admin de pfSense, les postes clients du LAN 2 profiteraient automatiquement de ce proxy (c'est à dire que tout le trafic passerait par le proxy). Est-ce possible ? Y-a-t'il une option à spécifier (que j'aurais loupée) ?

    Merci pour votre aide !



  • Essayer de faire une recherche sur le forum, il y a eu, dans la passé, une demande de ce type, dont je ne me souviens plus si elle avait trouvé une solution. C'est toutefois une configuration que l'on peut qualifier de "baroque" et qui n'est pas sans poser quelques problèmes juridico-techniques.
    A mon sens cette configuration n'est viable professionnellement, mais c'est vous le patron …



  • Bonjour ccnet,

    Merci pour avoir répondu rapidement !

    En quoi cette configuration soulèverait une problématique de ce type (simple question) ?

    Si elle peut être mise en place techniquement, le trafic passerait de toute manière par le serveur proxy du LAN (il ne s'agit pas de l'outrepasser, mais bien de passer par lui de manière transparente pour les clients du LAN 2 - le but étant d'éviter aux clients de configurer un proxy sur leur poste).

    Précision : la mise en place de ce pfSense (dans son LAN 2 créé pour l'occasion) se tient dans une optique de test / éducatif. Il ne sera pas mis en production réel par la suite.

    Je vais faire une recherche sur ce forum comme vous me le conseillez.



  • En quoi cette configuration soulèverait une problématique de ce type (simple question) ?

    Les utilisateurs situés sur lan2 vont être connectés à l'interface lan de Pfsense. Le trafic sera translaté par Pfsense avec l'ip de Wan avant d'être envoyé au proxy de Lan 1. Les logs deviennent inutilisables. Quid de l'authentification par ailleurs ? Les obligations de traçabilité étant ce qu'elles sont pour les entreprise mettant à disposition un accès internet, cette configuration complique les choses.

    Élément minorant : ce n'est pas une configuration destinée à la production mais aux tests. Comme le test est à vocation éducative je m'interroge sur les effets de bords induits par cette configuration, l'incidence pédagogique et finalement la perception qu'en auront les personnes concernés. La nécessité de renseigner un proxy dans le navigateur est, de mon point de vue, plus proche de la réalité du terrain. Comme je ne connais pas les objectifs je suis peut être à côté.



  • Je suis (forcément) d'accord avec ccnet : un firewall ne se réduit pas à un proxy !

    s"il faut passer obligatoirement par le proxy1, autant ne pas mettre de pfSense en dessous.
    (Si le but de pfSense est de rendre le proxy "transparent", c'est un très mauvais but et une mauvaise raison d'implantation !)

    Une config intelligente consiste plutôt à mettre en place WPAD : Web Proxy Auto Discovery !
    Cette norme (légèrement floue) permet de trouver automatiquement le proxy.
    (Il faut avoir la main sur le dns et/ou le dhcp …)



  • "Les logs deviennent inutilisable" : en effet c'est le cas.
    En production ce n'est évidemment pas envisageable.

    Merci pour vos réponses :)

    @jdh : Je ne connaissais pas WPAD, ça semble très intéressant.


Log in to reply