[Proxy PfSense] Accès site web interne sur le port 8443



  • Bonjour à tous,

    Je rencontre actuellement un problème sur mon réseau.

    Dans mon LAN tout le filtrage internet passe par le proxy PfSense.
    Je viens de mettre en place une centaine d'iPad sur mon réseau (il passe par le proxy pour sortir).

    Sur le même réseau j'héberge le serveur mdm qui à pour but de les administrer.
    ll est publié sur internet sur les ports 80; 443; 8443; 2195; 2196; 5223. l'IP publique vers un noms de domaine DNS de type "services.domaine.com" .
    La communication iPad <=> Serveur fonctionne parfaitement depuis le WAN.

    Cependant en interne il n'y a aucune communication.
    Comment exclure l'ip LAN de mon serveur (https://192.168.0.200:8443) ou une adresse dns (https://services.domaine.com:8443) de mon proxy ?

    Merci par avance pour vos réponses.



  • Je viens d'ajouter le port 8443 dans les ACL est sa fonctionne.
    Ce paramètre est-il adéquat ?



  • Dans mon LAN tout le filtrage internet passe par le proxy PfSense.

    Pfsense n'est pas un proxy. Vous avez installé le package Squid sur Pfsense ?

    Cependant en interne il n'y a aucune communication.

    Les Ipads n'accèdent pas à Internet ? Ou seulemenr n'accède pas au serveur mdm ?

    Comment exclure l'ip LAN de mon serveur (https://192.168.0.200:8443) ou une adresse dns (https://services.domaine.com:8443) de mon proxy ?

    Si c'est bien d'un proxy qu'il s'agit, c'est une question dans rapport avec Pfsense.
    Si c'est un proxy Squid vous pouvez modifier squid.conf (manuellement ou via une interface) avec des acl. Mais rien à voir avec Pfsense.
    La méthode la plus simple (cela vous déjà  été dit) consiste à "exclure les adresses locales" dans la configuration du navigateur. A mon connaissance cette option n'est pas visible sur un Ipad.
    Bref beaucoup d’imprécisions pour vous répondre clairement.

    Ce paramètre est-il adéquat ?

    Impossible à dure puisque l'on ne sait rien de précis de la configuration ni des besoins.
    Il semble que ce soit tombé en marche.



  • Salut salut

    Je vais le mettre en mode père fouettard de service ;o (pour changer / ou pas)

    Lire ceci ===> https://forum.pfsense.org/index.php?topic=79600.0

    L'avez vous fait ? Assurément non.

    Ce n'est pas pour le plaisir que je fais ce point là.
    C'est pour notre bonne compréhension et une meilleur aide que nous pourrions vous apporter.

    Cordialement.



  • J'avoue ne pas comprendre grand chose à ta question, un peu par manque d'explications techniques claires et également parce que le français que tu emploies est sensiblement différent du mien  ;)

    @@lex:

    Dans mon LAN tout le filtrage internet passe par le proxy PfSense.

    pour HTTP uniquement, nous sommes d'accord ? au fait, proxy transparent ou explicite ?

    Je viens de mettre en place une centaine d'iPad sur mon réseau (il passe par le proxy pour sortir).

    je suppose que tu veux dire "ils passent", et donc ta phrase se rapporte aux iPad (et non pas au réseau) qui utilisent le proxy pour accéder un HTTP à internet.

    Sur le même réseau j'héberge le serveur mdm qui à pour but de les administrer.
    ll est publié sur internet sur les ports 80; 443; 8443; 2195; 2196; 5223. l'IP publique vers un noms de domaine DNS de type "services.domaine.com" .

    C'est quoi cette histoire de "publication" ? du NAT depuis une IP publique qui redirige vers l'adresse interne du serveur MDM ?
    J'avoue avoir du mal en terme de design, même si c'est un autre sujet. L'objet de MDM dans un déploiement de type BYOD est de manager les devices "en interne" par lorsque les utilisateurs sont à l'extérieur. Et si les utilisateurs à l'extérieur veulent accéder au réseau interne, il convient de mettre en place des solutions de type remote access (genre VPN par exemple)

    La communication iPad <=> Serveur fonctionne parfaitement depuis le WAN.

    Cependant en interne il n'y a aucune communication.
    Comment exclure l'ip LAN de mon serveur (https://192.168.0.200:8443) ou une adresse dns (https://services.domaine.com:8443) de mon proxy ?

    Alzheimer doit me frapper car il me semble avoir répondu à un message similaire il y a peu mais je ne retrouve pas ce sujet qui semble avoir disparu  ???

    ça dépend comment ton proxy est configuré.

    • si tu utilises un proxy.pac, ajoute une directive "no proxy" pour cette adresse
    • tu peux peut-être configurer manuellement au niveau de chaque navigateur la même chose mais c'est pénible et lourd.

    une gestion intelligente du DNS permet également de résoudre ce problème: si ton DNS est pfSense, assures toi que pfSense va d'abord résoudre l'adresse de ton serveur avec son adresse interne. Bien sûr ça ne fonctionne pas pour les machines qui feraient des requêtes DNS sur pfSense depuis l'extérieur mais tu n'as pas ce genre de chose n'est-ce pas ?  ;D



  • @ccnet:

    La méthode la plus simple (cela vous déjà  été dit) consiste à "exclure les adresses locales" dans la configuration du navigateur.

    Effectivement il me semble bien qu'il y avait un sujet très similaire il y a peu mais je ne le retrouve pas ???



  • Assurément. Ce post étant particulièrement "de travers" (un peu comme celui-ci), et de ce fait s'attirant des commentaires un peu acides, je crois notre ami a opté pour sa suppression.



  • @ccnet:

    Assurément. Ce post étant particulièrement "de travers" (un peu comme celui-ci), et de ce fait s'attirant des commentaires un peu acides, je crois notre ami a opté pour sa suppression.

    Pour les commentaire "un peu acides", j'ai tendance à le comprendre car c'est une habitude bien ancrée ici d’accueillir les nouveaux dont le premier post ne suit pas exactement "la charte" par des commentaires de remise en place. Ce qui ne signifie pas qu'il ne faut pas faire d'effort de rédaction et de clarté ;-)

    D'un autre coté, supprimer un sujet sur lequel des membres ont pris la peine de rédiger une réponse, je trouve ça encore plus désagréable  :-\



  • Je suis bien d'accord, d'autant qu'il revient avec, plus ou  moins le même sujet, présenté un différemment mais tout aussi confus.