PfSense (firewall+portail captif) + Proxy Squid non-transparent



  • Bonjour,

    Malgré de nombreuses recherches je n'arrive pas à trouver de solution à mon problème. Je ne suis pas dans un cadre professionel mais afin d'élargir mes connaissances je souhaite me former à pfSense.

    Après avoir parcouru ce forum, je me suis rendu compte que l'idéal, si j'ai bien compris est d'avoir une architecture pfSense avec un proxy en DMZ.

    J'ai donc réalisé cette architecture :

    Le but comme vous le voyez est de séparer les utilisateurs internes des utilisateurs externes tout en interdisant les utilisateurs non-authentifiés.

    J'ai vu que je pouvais gérer l'authentification depuis pfSense avec le radius, ou en local. Mais aussi avec Squid et Kerberos.

    Pour l'instant je suis donc partit sur une authentification gérée par squid, dans ma DMZ, relié à mon AD (situé sur le VLAN Interne).
    J'ai configuré mon portail captif afin d'ajouter une Charte Internet pour les utilisateurs internes, et une page pour les visiteurs leur expliquant comment obtenir un compte.

    Mon portail captif fonctionne correctement dans le sens où quand je lance mon navigateur, j'ai bien ma charte informatique qui s'affiche.
    Sans portail captif, si je configure mon navigateur afin d'indiquer les paramètres de mon proxy ainsi :

    je peux bien aller sur Internet.

    Voici mon problème. Actuellement, le portail captif fonctionne, la navigation par proxy fonctionne, mais les deux ensembles ne fonctionne pas.

    Je suis donc obliger de passer le portail captif, puis de configurer mon navigateur pour accéder au proxy. Ce n'est évidement pas envisageable pour des utilisateurs.

    Ce que j'aimerais donc est de pouvoir accèder à mon portail captif (ou tout simplement à l'administration de mon pfsense) avec les paramètres de mon proxy entré dans le navigateur.

    Dans les tutoriaux que j'ai pu trouver, la mode est de configurer squid directement sur pfsense, auquel cas une option permet de forcer le portail captif pour squid, mais comment faire avec un proxy indémendant en DMZ?

    Merci d'avance pour votre lecture et vos réponses à venir.



  • Le schéma c'est très bien. Sans les légendes c'est illisible. Cela n'a rien d'un schéma réseau habituel. Je ne comprend pas votre architecture ou du moins son implémentation réelle. A quoi correspondent les flèches de couleurs, les traits, les numéros, les machines ??
    Cela dit : https://forum.pfsense.org/index.php/topic,40552.0.html