PFSENSE BRIDGE Erreur Acces / Redirection à certain site web



  • Bonjour,

    Nous avons une installation de Pfsense en mode bridge, depuis quelque temps l'accès à certain site web tombe en timeout pour certain poste seulement.
    Le pfsense est raccordé comme suit :

    • Cote Wan : Cable réseau raccordé sur le routeur Orange
    • Cote LAN : Cable réseau raccordé sur le switch

    Si l' on enlève le pfsense en mode bridge, tous fonctionne correctement.

    Exemple : Le site de RadioSpare s'affiche correctement mais quand les poste en question clic sur s'identifier, la redirection provoque un timeout.  Cela semble se produire quand il y a une redirection sur un site web http vers un site https.

    Auriez vous une idée ?

    Voici ma conf si cela peut aider (pj)
    config-pfsense.localdomain-20140224110755.txt



  • Il doit y avoir une explication logique mais …

    Un meilleur schéma faciliterait la 'vie' :

    • soit changer l'ip du modem Orange et passer dans un schéma non-bridge (avec double NAT),
    • soit remplacer le modem Orange par un modem 'bridge' (RFC1483) et la WAN de pfSense sera en PPPoE (avec les identifiants Orange).


  • Bonjour,

    Passer le serveur pfsense en mode bridge n'est pas souhaité. La configuration en mode routeur nat serait plus simple mais il implique des modifications à effectuer sur les équipements Orange Oléane ….

    Voici un schéma de la solution déployée :

    ![Schéma Pfsense.jpg](/public/imported_attachments/1/Schéma Pfsense.jpg)
    ![Schéma Pfsense.jpg_thumb](/public/imported_attachments/1/Schéma Pfsense.jpg_thumb)



  • C'est, hélas, le schéma traditionnel proposé par Orange (Sfr, et d'autres …) !
    On voit qu'il n'y a presqu'aucune sécurité dans un tel schéma mais ils ne voient le problème ...
    Et quand on leur demande une redirection, ce n'est guère possible ...

    Pour résoudre la question, je ne vois guère qu'abandonner pfSense et mettre en place un (vrai) proxy (avec un WPAD pour faciliter le déploiement).
    (Activer le proxy sur le pfSense n'est pas la solution puisque la navigation commence par http et passe à https).

    (Avec un bridge, concernant les sites, je commencerais directement en https plutôt qu'en http ...)