[CLOS] Problème PfSense/SquidProxy/SSL
Publié : ven. 25 déc. 2020 14:12
Bonjour.
J'utilise PfSense 2.4.5 à jour.
En package j'utilise Squid Proxy Server.
Quand je je regarde /services/SquidProxy Server/Real time je vois à quoi sont connectés les appareils de mon réseau domestique.
Cependant, en real time et en LightSquid Report ceci ne capture que le HTTP.
Pour capturer HTTPS j'ai suivi ce tuto : https://notamax.be/proxy-transparent-sous-pfsense/
ça fonctionne très bien, je peux monitorer tout traffic https
OUI MAIS
au fur et à mesure de notre navigation, on se rend compte que google.com, Gmail, Facebook, messagerie Bouygues, et la liste s'allonge, ne répondent plus.
Selon le navigateur j'ai un message de SSL invalide ou trop long !
vider le cache du navigateur n'y fait rien, générer un nouveau CA pour Squid à la taille minimum de 1024 en SHA256 non plus.
J'ai lu une astuce qui semble fonctionner pour certains sites : transformer l'adresse url httpS://truc.com en http://truc.com:443
cela semble générer une sorte d'apprentissage de Squid ou des navigateurs, et au bout d'un moment httpS://truc.com fonctionne.
Sauf que 1° ce n'est pas systématique 2° pas user friendly
Qui utilise cette solution et pourrait me conseiller SVP ?
J'utilise PfSense 2.4.5 à jour.
En package j'utilise Squid Proxy Server.
Quand je je regarde /services/SquidProxy Server/Real time je vois à quoi sont connectés les appareils de mon réseau domestique.
Cependant, en real time et en LightSquid Report ceci ne capture que le HTTP.
Pour capturer HTTPS j'ai suivi ce tuto : https://notamax.be/proxy-transparent-sous-pfsense/
ça fonctionne très bien, je peux monitorer tout traffic https
OUI MAIS
au fur et à mesure de notre navigation, on se rend compte que google.com, Gmail, Facebook, messagerie Bouygues, et la liste s'allonge, ne répondent plus.
Selon le navigateur j'ai un message de SSL invalide ou trop long !
vider le cache du navigateur n'y fait rien, générer un nouveau CA pour Squid à la taille minimum de 1024 en SHA256 non plus.
J'ai lu une astuce qui semble fonctionner pour certains sites : transformer l'adresse url httpS://truc.com en http://truc.com:443
cela semble générer une sorte d'apprentissage de Squid ou des navigateurs, et au bout d'un moment httpS://truc.com fonctionne.
Sauf que 1° ce n'est pas systématique 2° pas user friendly
Qui utilise cette solution et pourrait me conseiller SVP ?