PROB : Configuration spéciale PROXY pour un réseau spécial

[Broidu-Krane]

JE VAIS ESSAYER D'EXPLIQUER AU MIEUX

Bonjour à tous,

J'ai regardé un peu partout sur le forum mais je n'ai pas vraiment trouvé de réponse


Je suis dans un réseau d'entreprise (WAN) qui fonctionne par agences :

NORD OUEST : 192.168.A.0
ILE DE FRANCE (siége de la société et sortie de la laison pour aller sur Internet) : 192.168.B.0
SUD EST : 192.168.C.0
SUD OUEST : 192.168.D.0

Aujourd'hui tous les postes accèdent à Internet et/ou à des serveurs d'applications via nos liaison MPLS par un router (par agence) qui est toujours 254 : par exemple 192.168.A.254.

Je veux contrôler les flux des postes clients pour toutes les sorties vers Internet mais pas ce qui concerne notre WAN !

J'ai mis en place un IPCOP avec l'adresse suivante : 192.168.A.250 (ethernet VERT) et 192.168.A.251 (ethernet ROUGE)

La conf d'IPCOP est :

DNS 1 : 192.168.A.200
DNS 2 : 192.168.B.200
PASS : 192.168.A.254

La conf d'un PC est :

IP : 192.168.A.10
MASQUE : 255.255.255.0
PASS : 192.168.A.250 (ethernet VERT)

+ le paramètrage du passage d'internet explorer par le proxy dans la config réseau / connexion

Oui je sais c'est spécial, et en plus j'ai tout installé sous un VMWARE, qui semble très bien fonctionner.

J'ai activé le PROXY et en mode transparent + url filter (mais je l’ai désactiver car sans ça fonctionne pas non plus)


PROBLEME N°1 : Application Gestion

Mais voilà, j'arrive à surfer à peut prêt normalement. Je dis normalement car j'arrive pas à faire afficher notre ERP (ORACLE APPLICATION) par le PROXY !!! ??? Des que les modules java sont actif sa fonctionne plus, et SANS proxy ça fonctionne !? Je ne sais pas pourquoi ???

PROBLEME N°2 : Messagerie OUTLOOK/EXCHANGE
On travaille sous OUTLOOK XP avec un serveur EXCHANGE qui est placé dans l'agence ILE DE FRANCE.
Et là c'est pire, puisque j'arrive même pas à intérroger le serveur pour qu'il me demande mon mot de passe !
Si je passe pas par le Proxy tout fonctionne correctement !


J'ai téléchargé de la doc, lu des posts de partout mais là... j'ai du passé à coté de qq chose car je ne vois pas la config qu'il faut mettre à IPCOP pour que tout puisse passer correctement !?

Qui peut m'aider sur ce coup là ? Vous avez de la chance car y a toute ma sympathie à gagner Qui en veut ?


PS 1 : Quand je fais un trace route sur google.com je passe bien par mon IPCOP/PROXY puis par le siége de la société qui est en ILE DE France etc… Donc quand c’est tout simple ça fonctionne !

PS 2 : Je suis conscient que l'utilisation première d'IPCOP n'est pas de le faire tourner sur la mm plage d'adresse. D'un autre coté c'est aussi par curiosité, voir si ca peut fonctionner, ce qui semble presque être le cas

[Oizo]

Bonsoir,

As tu ajouté la route vers l'ile de france dans IPCOP ? sinon ipcop ne sait pas comment le joindre et donc ton client qui ne connais que IPCOP comme passerelle ne peux pas le joindre
Sinon pour les problemes d'authentifications il ne faut pas utiliser le proxy pour ton intranet local : *.domaine.local dans les paramètres du proxy, cela permettra que ton PC attaque tes serveur locaux sans passer par le proxy (cas d'authentification IIS par exemple)

J'espère avoir pu t'aider ou du moins t'aiguiller dans la bonne direction... Bon courage avec IPCOP!

[Franck78]

J'ai mis en place un IPCOP avec l'adresse suivante : 192.168.A.250 (ethernet VERT) et 192.168.A.251 (ethernet ROUGE)
[u]
La conf d'IPCOP est :

Salut,
un grand classique en ce moment, le nom respect des principes de base de l'adressage IP.
Tu devrais avoir A-vert et A-rouge différent.

Repense un peu tout ça puis revient avec un véritable réseau IP!

[jdh]

Comme le dit Franck78, Red DOIT être dans un réseau différent de Green. IPCOP est conçu à partir de ce postulat. Donc ....

Par ailleurs, afin d'éviter les problèmes il serait meilleur de ne pas les cumuler : une machine dédiée même de performance faible plutôt qu'un vmWare.

Il reste surprenant qu'un ping ou un traceroute fonctionne. Je pense que c'est plutôt le couple vmWare/IPCOP qui fait fonctionner ce qui ne devrait pas.

Cependant, le besoin n'est pas IPCOP mais plutôt un proxy vers Internet (SQUID+SquidGuard, Pop, ...). Ce n'est pas impossible.

Sur le site principal, je n'autoriserais seulement le traffic Internet à partir des proxy installés sur chaque site et configurerais chaque PC pour utiliser ces proxy. Les proxy n'auraient besoin que d'une carte réseau et qu'une ip.

[Broidu-Krane]

J'ai voulu tester par curiosité...

Je suis en train de mettre une distrib sous debian avec squid etc... je laisse tomber pour le IPCOP. Comme ça j'utiliserai qu'une adresse et une seule carte... mais toujours sous VMWARE.

A+

[Franck78]

Oui surprenant n'est pas !

Je sais bien que c'est pas l'objectif d'IPCOP de tourner sur la même plage d'adresse puisque je l'ai écris

Tu as écris quoi? Relit ton post gars!
Si c'est juste squid et quelques services qu'il te faut, il y eu deux topics récent sur ce sujet; mais aucun n'as finalisé ou daigné répondre.
Un IPCop avec la carte VERTE, rien d'autre.

[jdh]

Allez, on reprend ....


Un réseau MPLS entre 4 agences :
- Site A : Nord-Ouest : 192.168.A.0/24, routeur 192.168.A.254, dns local 192.168.A.200
- Site B : Ile de France : 192.168.B.0/24, routeur 192.168.B.254, dns
- Site C : Sud-Est : 192.168.C.0/24, routeur 192.168.C.254
- Site D : Sud-Ouest : 192.168.D.0/24, routeur 192.168.D.254

Sur le site B, il y a un serveur Exchange, un serveur Oracle Applications et l'accès Internet se fait au travers du routeur pour tout le réseau.

Comment filtrer l'accès à Internet pour le réseau ?


Un (simple) proxy sur le site B devrait convenir accompagné d'un filtrage où, seul ce proxy est autorisé à naviguer sur Internet. La contrainte c'est de paramétrer chaque poste avec ce proxy ... ce qui est assez facile avec une GPO (à ce qui semble).

Un complément utile : s'inspirez de la contrib sur SquidGuard pour IPCOP (de ... Franck78, merci à lui).

Je peux imaginer que le fournisseur du réseau (dont le nom est sans doute une des couleurs d'IPCOP !) assure le firewall pour l'ensemble du réseau. Il FAUT lui demander de restreindre le traffic Internet (TCP/80 et 443) au seul proxy. (Souvent il ne sait/veut pas faire !)

[Broidu-Krane]

Salut JDH,

Merci bien pour cette analyse/reprise

Je suis bien d'accord avec toi sur le principe que de filtrer directement à la source est le mieux, mais chaque agence est tout à fait indépendante, carte blanche... et oui c'est domage mais c'est comme ça !
Donc pas moyen de faire mettre un PROXY avec un paramètrage spécifique au siège...

De plus je ne suis pas rentré dans les détails mais chaque agence est éclatée en plusieurs laisons MPSL avec un routeur a chaque etc...

Mais je te remercie tout de même pour ta participation.

Je vais mettre une distib debian/proxy par réseau/liaison MPLS ca va etre plus simple, surtout que les régles ne sont pas les mêmes par liaison.

A+

[Broidu-Krane]

Bon pour ceux que ca intéresse :

J'ai mis un IPCOP pour 3 sites différents, tout fonctionne nickel en utilisant 1 seul cable réseau sur la patte verte !

AdvProxy OK
Url Filter OK
Gestion de compte OK


Bref tout est OK

Voilà

A+