Pfsense + proxy, quelques questions.



  • bonjour,

    je me permet d'ouvrir encore un sujet sur squid et pfsense, car j'ai un certains nombre de question sur le sujet, qui est nouveau pour moi, et tout est un peu confu.

    voici mon installation actuelle, (cf image), donc, quelque chose de très traditionnelle, et qui fonctionne sans aucun souci depuis plus d'un an..

    je veux ajouter un proxy pour avoir les log/archives de connexion sur la partie portail captif (OPT1)
    j'ai bien compris qu'il n'était pas conseillé de l'installer sur pfsense (de toute façons, mon boitier alix ne me le permet pas en terme de performance)

    je vais ajouter sur mon réseau un server de virtualisation pour héberger certains service web (un proliant DL380G5) , vu que je ne vais faire tourner que 4 VM dessus j'ai une grosse réserve de puissance, donc je pensais installer mon squid dans une VM dédié.

    voici les question que je me pose dans un premier temps.

    • quel est le meilleur emplacement pour installer le serveur (les autres services doivent toujours être accessible par les ordi du réseau) , je pensais le mettre sur ma boucle OPT1.
    • y a t'il des impact de performances notable sur le fait d'installer squid, et de plus de la faire tourner sur une VM (je compte quant meme lui mettre de bonne ressources matériel en Ram et Proc)

    j'ai pas mal cherché, je trouve essentiellement des tuto pour installer squid sur pfsense, ce que je ne veux pas faire, si quelqu'un a un lien d'un bon guide de configuration je suis preneur, car j'ai du mal à visualiser la configuration de tout ça (comment je régle pfsense pour tout transit par le proxy par exemple..)

    merci, en espérant ne pas avoir été trop confu



  • Salut salut

    je ne suis pas spécialiste dans ce domaine non plus.
    Je suis aussi d'avis d'installer un proxy hors Pfsense.

    Il existe des livres sur le sujet aussi traitant spécialement de squid chez ENI

    Tite Squid : Intégrez un proxy à votre réseau d'entreprise
    Auteur(s) : Loïc Thomas
    Editeur(s) : Eni
    Collection : Epsilon
    Nombre de pages : 322 pages
    Date de parution : 13/03/2013
    EAN13 : 9782746079182

    Je monterais peu être un proxy avec un reverse dans le mois prochain, je pense qu'il fera parti de ma documentation de départ en complément du site officiel de squid.

    Pour les tuto je pense qu'une cherche associant obligatoirement Pfsense donne le résultat voulu.
    Car là vous voulez l'installer dans une VM sur une distribution linux ou BSD, j'ai même vu des installation sur un Windows serveur.
    C'est qu'après en jouant sur les règles de routage que vous devrez vous recentrer sur le couple pfsense/squid.
    Enfin je pense ne pas trop me planter sur la partie théorique.



  • j'ai commencé à bricoler pour comprendre un peu le principe, j'ai installer squid sur une vm pour regarder un peu la config.
    ce qui est bien, c'est que l'on peut le configurer avec webmin.

    si j'ai bien compris le principe, en gros, je fais une règle qui renvois tout ce qui proviens de la boulce de mon portail vers mon serveur squid,
    je configure squid pour tous récupérer, puis rediriger vers le routeur
    et là, je fais une règle qui permet la sortie vers le net que si çà viens de l'ip du serveur squid…..

    j'avance doucement.



  • bonjour,

    alors je fais un peu remonter le sujet, vu que j'ai un peu avancé, ce qui fait que j'ai trouver les solutions à pas mal de mes questions…et bien sûr, j'en ai soulevé de nouvelles.

    et puis ça peut intéressé du monde, alors j'explique ce que j'ai fait, (ça marche, mais ça ne veux pas dire qu'il n'y a pas des erreurs).

    le but , c'était dans un premier temps, de constituer des log de connections sur ma boucle OPT2 (où j'ai mis un portail captif, mais çà c'est pour la suite....).

    donc, j'ai installé sur mon LAN un server squid3 en suivant ce tuto

    http://ubuntuserverguide.com/2012/05/how-to-install-and-configure-proxy-server-with-squid3-on-ubuntu-server-12-04-lts.html

    je le fais tourner dans une VM, (pour l'instant je test, mais après je compte garder mon squid dans une vm, mais en lui mettant pas mal de ressources en espace disques ....)

    j'ai réglé le fichier conf de squid pour un proxy transparent,  et pour "écouter" les adresses provenant de ma boucle OPT2 (192.168.3.XX)

    sur mon pfsense, j'ai crée la régle suivante :

    et ça marche nickel.
    je pense pas avoir fait d'erreur, mais n'hésitez pas si il y a des choses qui ne vous paraissent pas logique.

    maintenant , il me reste a régler un peu plus finement mon squid,
    pour l'instant voici les réglages que j'ai mis pour les objets en cachecache_

    mem 8 MB
    maximum_object_size_in_memory 32 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    cache_dir aufs /home/precise/cache 50000 32 512
    maximum_object_size 128000 KB
    cache_swap_low 95
    cache_swap_high 99

    (donc 5GO de cache)

    maintenant voici les questions qui arrivent pour la suite (certaine sont probablement très basique..mais bon..)

    • comment suivre la taille de mes logs ? (histoire de faire des projections pour dimensionner ma VM par la suite)
    • mon portail utilise des vouchers, existe il une solution pour recouper les ip stocké dans squid avec les numero de voucher correspondant dans pfsense ?
    • en cas de coupure du serveur squid (on sait jamais, panne Electrique etc…) y a t'il un moyen de renvoyer le trafique d'OPT2 vers le wan (pour éviter que les utilisateurs 'finissent dans le vide")
      voilà, ...si ca peut aider, en tout cas merci pour l'aide

    ++



  • Bonjour,

    Je suis nouveau dans le forum.

    Je n'ai malheureusement pas les réponses à tes question, mais J'ai, comme toi des problèmes avec pfsense et squidgard.

    J'ai une infrastructure complètement virtualisée et mon pfsense l'est aussi. J'ai ajouté squid et squidgard sur le pfsense 2.4.4

    Mon traffic vers internet devient incroyablement lent quand j'active squid.
    Vu les commentaire ci-dessus je vois que c'est normal, car pas conseillé d'installer squid sur pfsense.
    Mais pourquoi ?
    N'y  at'il pas moyen de gonfler la vm pour le faire quand même ?
    J'ai encore de la marge pour du cpu et de la ram, mais combien peut en supporter la vm pfsense a votre avis ?

    Merci

    PS: je dois ajouter que j'ai 150 personnes qui utilisent cette ligne :-)
    De plus j'ai activé 10 vlan sur l'interface LAN