Problème Proxy

par **cabal** » 16 Mai 2006 10:49

Bonjour,

tout d'abord, je voulais féliciter les concepteurs de ce site, ainsi que les modérateurs pour les informations qui se trouve dans ce puit sans fond...

Je suis newbie sur IPCOP et j'ai fait une architecture de sécurité pour le siège et les sites distant de ma boite, je m'explique :

BLUE Wifi ------------------ IPCop1
GREEN siège -------------- IPCop1 ---- ROUGE ------Internet
ORANGE ------------------ IPCop1

GREEN distant ------------- IPCop2 ---- ROUGE ------ORANGE de l'IPCop1

IPCOP 1 et 2 sont configurés avec AdvProxy, URLFilter et BOT mais désactivé (je vous expliquerai)

La communication de GREEN Siège et Internet passe bien
La communication de GREEN Distant ne peut accéder à Internet

Le ping d'un site distant vers IPCop2 passe bien, ainsi que vers Internet, par contre, la navigation via le Proxy sur IPCop 2 sur cette machine, il me dit "Accès interdit.
La configuration du contrôle d'accès interdit à votre requête d'être acceptée à cette heure-ci. Veuillez contacter votre prestataire de service si vous pensez que ceci n'a pas lieu d'être."

Pour information, un site distant à une adresse IP de classe C alors que le réseau est en classe B mais la patte verte de l'IPCop 2 est en classe B (est ce qu'il ne refuserait pas la navigation d'un réseau autre que le sien....cependant, le routeur en amont est forcément de classe C)

Si j'active le BOT sur IPCOP2, plus aucune communication n'est possible (pas de Ping, et pas non plus d'Internet) donc surement un problème de configuration, j'aurai aussi besoin d'aide sur les services

Si, depuis mon portable je navigue grace au proxy de l'IPCop 2, ça passe bien
Donc, j'en arrive à ma question, que faut-il vérifier pour que la communication Internet soit établie entre mon GREEN Distant et Internet (je ping Internet donc réellement un problème proxy)

En vous remerciant de votre attention et des informations apportées .

Cordialement,

par **Franck78** » 16 Mai 2006 12:20

Salut,

Avec un message de squid aussi clair il n'y a pas à tergiverser. On fonce direct voir le contenu du squid.conf.
Et on y découvre quoi?
Simplement qu'il accepte 'les réseaux qu'il connait', c''est à dire des clients GREEN (les siens) ou BLUE (crois-moi).

Tu as une organisation bizarre, connecter un IPCop sur l'ORANGE d'un autre.

extrait d'un squid.conf ipcop: note l'acl 'IPCop_networks'

Code: Tout sélectionner: acl IPCop_ips dst 10.0.0.100 acl IPCop_networks src 10.0.0.0/255.255.0.0 acl CONNECT method CONNECT ##Access to squid: #local machine, no restriction http_access allow localhost #GUI admin if local machine connects http_access allow IPCop_ips IPCop_networks IPCop_http http_access allow CONNECT IPCop_ips IPCop_networks IPCop_https #Deny not web services http_access deny !Safe_ports http_access deny CONNECT !SSL_ports #Finally allow IPCop_networks clients http_access allow IPCop_networks http_access deny all

par **cabal** » 16 Mai 2006 12:36

OK, merci Franck, je vais regarder de ce pas les fichiers conf.

Pour l'organisation bizarre, je souhaite séparer les flux Internet de mes sites distants et laisser en priorité le siège sur l'IPCop1, comme cela, si une c... vient des sites (lointains donc plus vulnérable) et qu'il arrive a passer l'IPCop2, bah il sera figé sur la DMZ de l'IPCop 1 et ne pourra normalement, pas passer de l'orange vers vert ou bleu.

Ce genre d'architecture est bcq utilisé chez les hébergeurs pour séparer les flux sur les différents réseau et serveurs.

je vous tiens au jus dès que c'est fait

par **cabal** » 16 Mai 2006 13:23

Bon, j'ai modifié le fichier /var/ipcop/proxy/squid.conf

J'ai directement ajouté la source comme suit :
acl IPCop_http port 81
acl IPCop_https port 445
acl IPCop_ips dst 172.16.1.80
acl IPCop_networks src "/var/ipcop/proxy/advanced/acls/src_subnets.acl"
acl IPCop_green_network src 172.16.0.0/255.255.0.0
acl CONNECT method CONNECT

J'ai essayé aussi de mettre acl IPCop_green_network src "/var/ipcop/proxy/advanced/acls/src_subnets.acl" puisque apparaissent dans cette ACL mes 2 réseaux 10.0.0.0 et 172.16.0.0 ou directement en 10.0.0.0/255.0.0.0

J'ai essayé aussi sur un sous réseau en 192.168.0.0 mais c'est identique

mais rien ne fait, pas moyen de naviguer, cependant, j'ai maintenant non plus Squid qui me repond mais une erreur DNS :?:

MErci

par **cabal** » 16 Mai 2006 17:03

Quand je me connecte depuis le réseau 172.16/16 , j'ai le message :
.La connexion a échoué
Le system à retourné (111) connection refused
La machine ou le réseau sont peut etre hors service.Veuilllez réitérer votre requete

Merci de m'aider

par **cabal** » 17 Mai 2006 11:54

Bonjour,

Personne ????

je résume pour ceux qui n'ont pas compris :

j'ai 1 sous réseau derrière un Transpac en 192.168.0.0 et 1 en 10.0.0.0
ils tapent sur un routeur VPN en 172.16.0.0 qui monte sur un IPCop que l'on appelera IPCop2

IPCop2 sert uniquement de passerelle pour les flux HTTP pour les sites distant
IPCop2 est confirguré en GREEN / RED

Mon réseau d'entreprise est en @IP 172.16.0.0 et passe par un autre IPCop (IPCop1) pour sortir
IPCop1 sert de passerelle pour les flux HTTP pour le siège
ICop1 est configuré en GREEN / ORANGE / RED / BLUE (Wifi)

La patte RED de IPCop2 est branchée sur la ORANGE de IPCop1

..............Internet
...................|
.................. |
..................|...orange.209.191.169.0.Red
----------IPCop1 -----------------------------IPCop2
..|................|...............|........................... |
Wifi..............|..........Server DNS.............Routeur VPN (172.16.0.254)
...................|..............................................|
.................LAN (172.16.0.0).......................WAN (192.168.0.0)

Je n'arrive pas à accéder à Internet depuis mon WAN :?:

Merci de votre aide

par **Franck78** » 17 Mai 2006 12:30

cabal a écrit::up:

Quand je me connecte depuis le réseau 172.16/16 , j'ai le message :
.La connexion a échoué
Le system à retourné (111) connection refused
La machine ou le réseau sont peut etre hors service.Veuilllez réitérer votre requete

Merci de m'aider

On ne sait pas trop ce qui fonctionne qui est valide dans ton installation. On ne sait pas non plus qui obtient une réponse à partir d'ou.

Ca a commencé par squid qui clairement refusait des clients. Revient à ce niveau et trouve(ons) la solution, en lisant la doc squid par exemple, en mettant simplement le bon numéro de réseau (eg pas le green2 qui masquaradé).

Essaie aussi avec le réglage 'upstream proxy' disponible.

par **cabal** » 17 Mai 2006 13:02

Heuuu, merci tout d'abord Franck78

OK, j'ai ajouté la route comme suit
acl IPCop_http port 81
acl IPCop_https port 445
acl IPCop_ips dst 172.16.1.80
acl IPCop_networks src 192.168.0.0/255.255.0.0
acl IPCop_green_network src 172.16.0.0/255.255.0.0
acl CONNECT method CONNECT

et ça fonctionne

Merci

Problème Proxy

Problème Proxy

Qui est en ligne ?