Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense derrière un proxy

    Scheduled Pinned Locked Moved Français
    6 Posts 3 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      guicara
      last edited by

      Bonjour,

      Je viens de mettre en place pour la première fois pfSense sur un deuxième réseau local (LAN 2). Ce nouveau réseau local passe par un premier réseau local (LAN 1) déjà en place où je n'ai pas la main dessus. Pour que les clients puissent profiter du web, ils doivent nécessairement passer par un serveur proxy (sans authentification).

      Voici le schéma de l'infrastructure réseau :

      [WEB]–--[Réseau LAN 1 avec proxy]–--[mon pfSense]–-[mon réseau LAN 2]

      Je ne peux pas contourner le réseau LAN 1 en amont.
      Je dois nécessairement passer par lui, et pour profiter du web, passer par le serveur proxy de ce LAN 1.

      Dans pfSense > System > General setup > Miscellaneous > Proxy support :

      • URL du proxy LAN 1 spécifié
      • port du proxy LAN 1 spécifié

      Tout fonctionne dans le sens où : pfSense à accès à Internet.

      Seulement : les clients ne peuvent pas accéder à internet tant qu'ils ne spécifient pas manuellement le serveur proxy du LAN 1 sur leur poste ! Ce qui est plutôt gênant.

      Je pensais qu'en spécifiant un serveur proxy dans l'admin de pfSense, les postes clients du LAN 2 profiteraient automatiquement de ce proxy (c'est à dire que tout le trafic passerait par le proxy). Est-ce possible ? Y-a-t'il une option à spécifier (que j'aurais loupée) ?

      Merci pour votre aide !

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Essayer de faire une recherche sur le forum, il y a eu, dans la passé, une demande de ce type, dont je ne me souviens plus si elle avait trouvé une solution. C'est toutefois une configuration que l'on peut qualifier de "baroque" et qui n'est pas sans poser quelques problèmes juridico-techniques.
        A mon sens cette configuration n'est viable professionnellement, mais c'est vous le patron …

        1 Reply Last reply Reply Quote 0
        • G
          guicara
          last edited by

          Bonjour ccnet,

          Merci pour avoir répondu rapidement !

          En quoi cette configuration soulèverait une problématique de ce type (simple question) ?

          Si elle peut être mise en place techniquement, le trafic passerait de toute manière par le serveur proxy du LAN (il ne s'agit pas de l'outrepasser, mais bien de passer par lui de manière transparente pour les clients du LAN 2 - le but étant d'éviter aux clients de configurer un proxy sur leur poste).

          Précision : la mise en place de ce pfSense (dans son LAN 2 créé pour l'occasion) se tient dans une optique de test / éducatif. Il ne sera pas mis en production réel par la suite.

          Je vais faire une recherche sur ce forum comme vous me le conseillez.

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            En quoi cette configuration soulèverait une problématique de ce type (simple question) ?

            Les utilisateurs situés sur lan2 vont être connectés à l'interface lan de Pfsense. Le trafic sera translaté par Pfsense avec l'ip de Wan avant d'être envoyé au proxy de Lan 1. Les logs deviennent inutilisables. Quid de l'authentification par ailleurs ? Les obligations de traçabilité étant ce qu'elles sont pour les entreprise mettant à disposition un accès internet, cette configuration complique les choses.

            Élément minorant : ce n'est pas une configuration destinée à la production mais aux tests. Comme le test est à vocation éducative je m'interroge sur les effets de bords induits par cette configuration, l'incidence pédagogique et finalement la perception qu'en auront les personnes concernés. La nécessité de renseigner un proxy dans le navigateur est, de mon point de vue, plus proche de la réalité du terrain. Comme je ne connais pas les objectifs je suis peut être à côté.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Je suis (forcément) d'accord avec ccnet : un firewall ne se réduit pas à un proxy !

              s"il faut passer obligatoirement par le proxy1, autant ne pas mettre de pfSense en dessous.
              (Si le but de pfSense est de rendre le proxy "transparent", c'est un très mauvais but et une mauvaise raison d'implantation !)

              Une config intelligente consiste plutôt à mettre en place WPAD : Web Proxy Auto Discovery !
              Cette norme (légèrement floue) permet de trouver automatiquement le proxy.
              (Il faut avoir la main sur le dns et/ou le dhcp …)

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • G
                guicara
                last edited by

                "Les logs deviennent inutilisable" : en effet c'est le cas.
                En production ce n'est évidemment pas envisageable.

                Merci pour vos réponses :)

                @jdh : Je ne connaissais pas WPAD, ça semble très intéressant.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.