Pb de bande passante portail captif + proxy



  • Bonjour,
    Je m'occupe du réseau informatique d'un établissement scolaire dont voici le plan :

    Il est articulé autour d'un contrôleur de domaine (AD) pour l'authentification et d'un Proxy SLIS (squid) pour le filtrage de contenu et le cache.

    Il nous a ensuite été demandé de mettre en place un réseau wifi.
    Nous sommes donc parti sur une solution avec un réseau wifi ouvert et un portail captif sous Pfsense.

    Pfsense a donc les fonctions suivantes :

    • serveur DHCP pour les clients wifi,
    • portail captif avec authentification RADIUS (via AD),
    • Redirecteur DNS

    Jusque là pas de problème, les utilisateurs s'associent bien au réseau wifi, la page d'authentification s'affiche correctement et ils peuvent s'authentifier.

    Ensuite, pour qu'ils aient accès à Internet, via notre proxy, nous avons installé sur Pfsense Squid (en mode transparent) et configuré un "upstream proxy".

    C'est là que nous rencontrons un pb, le temps d'affichage des pages web est TRES TRES long … quelques dizaines de secondes, autant dire que ce n'est pas utilisable en l'état.

    Je pense que le pb vient des options du remote cache, options dans lesquelles je suis un peu perdu ...
    Je vous joint des captures d'écran de notre configuration actuelle :




    Ma question est donc, auriez vous une piste pour m'aider à résoudre ce pb de latence ?

    Je vous remercie par avance de votre aide et s'il vous faut des infos complémentaires, n'hésitez pas.



  • Salut salut

    !!!!!! merci de suivre le modèle !!!!!

    @all ne pas répondre si pas de modèle (premier sticker)

    Cordialement.



  • Salut salut

    vous avez intégré le capture et les schémas bon.

    Petites questions :

    • pourquoi ne pas avoir rediriger les flux squid vers le squid dans votre lan ?
    • sans squid sur pf (sans parler de la fausse bonne idée d'avoir mis squid sur une pare-feu) est ce que cela est mieux coté latence ?
    • quelle est la capacité de votre cœur de réseau, n'avez vous pas oublié les goulots d'étranglements  en fonction de vos utilisateurs / fréquentations / plages horaires ?

    Cordialement.



  • Bonjour,

    @Tatave:

    • pourquoi ne pas avoir rediriger les flux squid vers le squid dans votre lan ?

    Je pensais que c'est ce qui était fait en activant le "remote cache" … ou alors je n'ai pas bien compris ...

    @Tatave:

    • sans squid sur pf (sans parler de la fausse bonne idée d'avoir mis squid sur une pare-feu) est ce que cela est mieux coté latence ?

    Je suis d'accord avec la fausse bonne idée de mettre squid sur un FW, mais le proxy de mon LAN n'est pas en mode "transparent".
    Les clients doivent donc passer par lui.
    Pour simplifier les choses, je ne souhaitez pas qu'ils aient à configurer de proxy sur leur appareil.
    Il est vrai que je n'ai pas essayé, ne serait-ce que pour tester …

    @Tatave:

    • quelle est la capacité de votre cœur de réseau, n'avez vous pas oublié les goulots d'étranglements  en fonction de vos utilisateurs / fréquentations / plages horaires ?

    Le wifi est destiné principalement aux élèves internes le soir (19h-22h), plage horaire sur laquelle le LAN n'est pas utilisé, c'est pourquoi je ne pensais pas mettre en cause le réseau.
    Au moment ou j'ai fait mes tests, j’étais le seul connecté au wifi, je n'ai donc pas mis en cause mes bornes.
    C'est pourquoi je me suis dirigé vers les options de squid que je ne maitrise pas.

    Cordialement,