PB SQUID en VPN

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

PB SQUID en VPN

Messagepar eden91 » 03 Jan 2006 17:05

Bonjour à tous,

Config réseau:

1er site----------------------------------------2ieme site
1MNF ------------------ VPN ------------------ 1MNF
IP reseau 192.168.254.x-----------------------IP reseau 192.168.253.x

J'ai 2 site distant relié en VPN, sur le 1er site j'ai:

-Squid qui tourne en mode transparent.
-Un intranet pour l'entreprise sur un serveur IIS sous Windows.

Sur le 2ieme site je peux acceder au site intranet en tapant l'url du serveur distant ex: 192.168.254.4/intra et la page s'affiche.
En revanche si j'active Squid en mode transparent sur la MNF du 2ieme site alors impossible d'afficher la page. Voila le resultat de la page:

ERROR
The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://192.168.254.4/intra/news.asp

The following error was encountered:

Connection Failed
The system returned:

(110) Connection timed out
The remote host or network may be down. Please try the request again.

Your cache administrator is root.



--------------------------------------------------------------------------------
Generated Tue, 03 Jan 2006 15:16:24 GMT by mandtechno.dom (Squid/2.4.STABLE7)

PS:
J'ai le VPN ---> ALL en accept et le ALL -----> VPN en accept (par defaut).

Merci .
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Messagepar Franck78 » 03 Jan 2006 17:51

Salut,
Vérifies déjà ou se situe le problème.
-au départ de squid vers SITE1.
-au retour de la réponse de SITE1 qui ne parvient jamais à squid.

Tu dispose de tcpdump pour ça.

"tcpdump -i ppp0" ou -i ipsec0 etc...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Jacques- » 03 Jan 2006 20:57

Aves si possible les logs de shorewall dans /var/log/messages au moment où tu essayes.
Le proxy en mode transparent fait en fait une redirection de ce qu'elle reçoit sur le port 80 de son IP normale vers un autre port (3128 si je me souviens bien) sur l'interface loopback si je ne m'abuse.
Ensuite, il est possible que les règles de shorewall refusent de laisser passer des paquets venant du firewall (interface fw) vers la patte ppp+.

A vérifier.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar eden91 » 04 Jan 2006 12:38

Voici les Log:
Jan 4 11:26:52 localhost kernel: Shorewall:wan2all:DROP:IN=eth1 OUT= MAC=00:0d:88:26:39:8c:00:a0:c5:70:f0:38:08:00 SRC=82.127.214.222 DST=172.16.1.1 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=2203 DF PROTO=TCP SPT=4133 DPT=139 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 4 11:27:00 localhost CROND[16903]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jan 4 11:28:00 localhost CROND[16907]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jan 4 11:28:48 localhost kernel: Shorewall:wan2all:DROP:IN=eth1 OUT= MAC=00:0d:88:26:39:8c:00:a0:c5:70:f0:38:08:00 SRC=194.206.43.189 DST=172.16.1.1 LEN=38 TOS=0x00 PREC=0x00 TTL=55 ID=36675 PROTO=UDP SPT=55 DPT=49153 LEN=18
Jan 4 11:29:00 localhost CROND[16911]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jan 4 11:29:19 localhost kernel: Shorewall:all2vpn:ACCEPT:IN=eth0 OUT=ipsec0 SRC=192.168.254.210 DST=192.168.253.3 LEN=523 TOS=0x00 PREC=0x00 TTL=63 ID=49683 PROTO=UDP SPT=43387 DPT=3052 LEN=503


Ces log sont ceux de La MNF du site 1.( Site sur lequel le serveur Web tourne ayant pour IP:192.168.254.4 et le client demandant la page Web a pour IP: 192.168.253.3)
On voit dans les log une IP:192.168.254.210 qui est l'IP d'un onduleur.
Si les logs vous donnes des info merci de me les faire passer :)
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Messagepar eden91 » 04 Jan 2006 12:45

Les log suivants sont les log de la MNF du 2ieme site (si ca peux vous aider on sait jamais):

Jan 4 11:51:40 mandtechno kernel: Shorewall:all2vpn:ACCEPT:IN= OUT=ipsec0 SRC=172.16.2.1 DST=192.168.254.4 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=56805 DPT=80 WINDOW=32440 RES=0x00 SYN URGP=0
Jan 4 11:52:00 mandtechno CROND[6868]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jan 4 11:53:00 mandtechno CROND[6877]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jan 4 11:54:00 mandtechno CROND[6886]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jan 4 11:54:20 mandtechno kernel: Shorewall:vpn2all:ACCEPT:IN=ipsec0 OUT=eth0 SRC=192.168.254.210 DST=192.168.253.3 LEN=530 TOS=0x00 PREC=0x00 TTL=62 ID=49773 PROTO=UDP SPT=43387 DPT=3052 LEN=510
Jan 4 11:54:25 mandtechno kernel: Shorewall:all2vpn:ACCEPT:IN= OUT=ipsec0 SRC=172.16.2.1 DST=192.168.254.4 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=767 PROTO=TCP SPT=56807 DPT=80 WINDOW=32440 RES=0x00 SYN URGP=0
Jan 4 11:54:34 mandtechno kernel: Shorewall:lan2all:ACCEPT:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:c0:b7:6c:8c:73:08:00 SRC=192.168.253.210 DST=192.168.253.255 LEN=525 TOS=0x00 PREC=0x00 TTL=64 ID=55814 PROTO=UDP SPT=33520 DPT=3052 LEN=505
Jan 4 11:55:00 mandtechno CROND[6896]: (root) CMD ( /usr/share/msec/promisc_check.sh)
Jan 4 11:55:00 mandtechno CROND[6897]: (root) CMD ( /usr/sbin/monitoring.pl)


Merci.
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Messagepar Jacques- » 12 Jan 2006 22:44

Je suis peut-être fatigué, sûrement même vu la semaine passée, mais je ne vois rien de bloquant dans les logs pour expliquer le problème de connexion.
Le problème devrait se situer dans squid à mon avis.
Dans l'interface MNF, vérifie que tes réseaux locaux et distants sont bien ajoutés dans les réseaux autorisés pour squid. Si tu ne peux les ajouter, tu peux éditer le fichier /etc/squid.conf pour tenter de les mettre à la main et voir le résultat. Dans ce cas, la confi MNF aura toujours priorité en cas de restauration ou modification dans l'interface.
Sans squid, le firewall laisse passer, avec squid, le proxy refuse l'accès au réseau distant à priori.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité