Soucis Proxy à travers vpn [Resolu]

[Dorian Gray]

Bonjour,

J'ai un soucis de proxy, je n'arrive pas depuis une de mes agences distante à accèder à un site internet local depuis celle ci.

détails de l'architecture :

192.168.0.0/24 === ipcop (.251) === internet === ipcop (.251) ==== 192.168.21.0/24

Les ipcops sont en distribution 1.4.21 avec advanced proxy + urlfilter

détails de l'erreur :

The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://*******/**** (mon url locale)

The following error was encountered:

Connection to 192.168.0.14 Failed
The system returned:

(110) Connection timed outThe remote host or network may be down. Please try the request again.

Your cache administrator is webmaster.

sur votre forum j'ai trouvé un soucis que je pensais similaire j'ai donc ajouté dans le fichier /var/ipcop/proxy/advanced/acls/include.acl

acl monlan src 192.168.0.0/255.255.255.0
http_access allow monlan

mais rien ne change malgrès les reboot, vidage de cache .... ect.

A vrai dire je n'ai plus d'idées

voici en détails mon squid.conf

# Do not modify '/var/ipcop/proxy/squid.conf' directly since any changes
# you make will be overwritten whenever you resave proxy settings using the
# web interface!
#
# Instead, modify the file '/var/ipcop/proxy/advanced/acls/include.acl' and
# then restart the proxy service using the web interface. Changes made to the
# 'include.acl' file will propagate to the 'squid.conf' file at that time.

shutdown_lifetime 5 seconds
icp_port 0

http_port 10.254.254.251:800 transparent
http_port 192.168.21.251:800 transparent

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

cache_effective_user squid
cache_effective_group squid
umask 022

pid_filename /var/run/squid.pid

cache_mem 2 MB
cache_dir aufs /var/log/cache 1000 16 256

error_directory /usr/lib/squid/advproxy/errors.ipcop/English

access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none

log_mime_hdrs off
forwarded_for off
via off

acl within_timeframe time MTWHFAS 00:00-24:00

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 563 # snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 800 # Squids port (for icons)

acl IPCop_http port 81
acl IPCop_https port 445
acl IPCop_ips dst 10.254.254.251
acl IPCop_networks src "/var/ipcop/proxy/advanced/acls/src_subnets.acl"
acl IPCop_servers dst "/var/ipcop/proxy/advanced/acls/src_subnets.acl"
acl IPCop_green_network src 10.0.0.0/255.0.0.0
acl IPCop_green_servers dst 10.0.0.0/255.0.0.0
acl IPCop_blue_network src 192.168.21.0/255.255.255.0
acl IPCop_blue_servers dst 192.168.21.0/255.255.255.0
acl CONNECT method CONNECT

#Start of custom includes

acl poincare src 192.168.0.0/255.255.255.0
http_access allow poincare

#End of custom includes

#Access to squid:
#local machine, no restriction
http_access allow localhost

#GUI admin if local machine connects
http_access allow IPCop_ips IPCop_networks IPCop_http
http_access allow CONNECT IPCop_ips IPCop_networks IPCop_https

#Deny not web services
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Prevent internal proxy access to Green
http_access deny IPCop_green_servers !IPCop_green_network

#Set custom configured ACLs
http_access allow IPCop_networks within_timeframe
http_access deny all
http_access allow IPCop_networks within_timeframe
http_access deny all

#Strip HTTP Header
header_access X-Forwarded-For deny all
header_access Via deny all

maximum_object_size 4096 KB
minimum_object_size 0 KB

request_body_max_size 0 KB
reply_body_max_size 0 allow all

visible_hostname ipcop-wroclaw1.intrabeg.net

url_rewrite_program /usr/sbin/squidGuard
url_rewrite_children 5

Je suis preneur de toute aide proposé !

[Dorian Gray]

Toujours aucune idée?

[jdh]

Squid est un proxy qui fait partie d'IPCOP.

Il est donc prévu pour être "cohérent" avec la conception d'IPCOP.

En la matière, la config de Squid concernant le réseau interne est en rapport avec Green !

D'où

acl reseaulocal src 192.168.x.0/24
http_access allow reseaulocal

(ce sont les seules commandes intéressantes).

Il est clair que chaque squid utilise sa propre définition locale pour ces 2 lignes. Il n'y a surtout pas lieu d'ajouter le réseau de l'autre côté ... ce qui n'aurait aucun sens.


Avec le mode proxy transparent (http_port 10.254.254.251:800 transparent et http_port 192.168.21.251:800 transparent), le trafic va du PC au firewall qui effectue la demande http.

Y aurait-il un loup à ce niveau ?

[Gesp]

J'ai un soucis de proxy, je n'arrive pas depuis une de mes agences distante à accèder à un site internet local depuis celle ci.

Tu ne dis pas trop comment c'est organisé.
Ou est placé le serveur à accéder, en green, en orange?

Comment est défini le vpn, je suppose que c'est en net to net d'un green à l'autre?

[Dorian Gray]

Merci de vos réponses
En fait il s'agit d'un VPN entre un réseau Vert et un réseau Bleu via Internet

ipcop1 qui fonctionne normalement
green : 192.168.0.0/24 (proxy transparent sur green)
orange : 192.168.100.0/24
red : Internet Static

ipcop2
blue DHCP :192.168.21.0/24 (proxy transparent sur blue)
green : 10.254.254.251/8 (proxy transparent sur green)>> expliquant la présence dans le squid.conf
red : Internet Static

Il s'agit bien d'un réseau net to net.

A noter que le blue et le green sont sur le mm switch ne communique pas au niveau IP (pas de routage fait) ça permet à l'admin distant d'attaquer en 10.254.254.251 pour manager les autoriasations sur bleu.
L'interface green ne possède pas de dhcp et est dédié au management.

Voilà vous savez tout

[Dorian Gray]

J'oubliais, l'ip du serveur à joindre en http, du réseau 21 au réseau 0 est : 192.168.0.4

[Franck78]

A noter que le blue et le green sont sur le mm switch ne communique pas au niveau IP

????A quoi peut donc bien servir un firewall entre un point A et un point B quand les deux points sont les mêmes? Réponse: à rien !

J'ai toujours pas compris quel proxy génère le message. Mais si tu pensais utiliser le proxy de lan gauche à partir d'un machine de LAN droite, clairement, la config du proxy rejette la machine de droite

Maintenant, si à partir de Lan gauche tu n'atteins pas spécifiquement une machine de droite (au hazard le serveur) mais toutes les autres de droite, ....car je j'espère que tu as fait un minimum de test (ping?),... alors le problème est le serveur, pas squid.

[Dorian Gray]

????A quoi peut donc bien servir un firewall entre un point A et un point B quand les deux points sont les mêmes? Réponse: à rien !

Je parle du bleu et du green du mm Ipcop. Je ne cherche pas à mettre de firewall entre ces deux interface, quand bien mm si je le voulais et ce n'est pas le but de ce topic, une machine en green qui veut joindre un réseau bleu et qui n'a pas la route ou d'interface pour le joindre interroge sa passerelle par défaut et si celle ci est aussi firewall, elle est capable de droper les paquets.

Le proxy ne génère pas de message, c'est comme si il n'arrivait pas a atteindre la cible, mais aucune trace dans le tcpdump


Je remarque de plus en plus sur ce forum, de personnes qui montrent bien qu'elles sont surpuissante mais de moins en moins de réponses interressante dans les nouveaux topics. Statistiquement c'est souvant 5 messages de bache à enfoncer l'utilisateur qui poste, pour une résolution. Dommage.

[Franck78]

Je parle du bleu et du green du mm Ipcop. Je ne cherche pas à mettre de firewall entre ces deux interface, quand bien mm si je le voulais et ce n'est pas le but de ce topic, une machine en green qui veut joindre un réseau bleu et qui n'a pas la route ou d'interface pour le joindre interroge sa passerelle par défaut et si celle ci est aussi firewall, elle est capable de droper les paquets.

Il y a un topic récurrent qui concerne des dysfonctionnements réseau en tout genre quand justement plusieurs interfaces d'IPCop sont 'en IP' et sur le même switch. Mais bon.

Le proxy ne génère pas de message, c'est comme si il n'arrivait pas a atteindre la cible, mais aucune trace dans le tcpdump

A la limite, on s'en fout du proxy. C'est un intermédiaire entre une machine du LAN-A et une autre du LAN-B*. D'ailleurs on ne sait toujours pas de quel proxy tu parles.

*enfin d'après ce qu'on peut comprendre....

[Dorian Gray]

ipcop1 qui fonctionne normalement
green : 192.168.0.0/24 (proxy transparent sur green)
orange : 192.168.100.0/24
red : Internet Static

ipcop2
blue DHCP :192.168.21.0/24 (proxy transparent sur blue)
green : 10.254.254.251/8 (proxy transparent sur green)>> expliquant la présence dans le squid.conf
red : Internet Static

oubliais, l'ip du serveur à joindre en http, du réseau 21 au réseau 0 est : 192.168.0.4

En fait je parles du proxy distant, le proxy du réseau 21, celui qui a aussi les deux interfaces sur le mm switch. Je ferais les tests lundi pour voir si ça a une influence.

Merci.

[Dorian Gray]

Le soucis est maintenant résolu.

La configuration de l'ipcop ne permettait à l'interface rouge d'utiliser le vpn (normal), il faut donc réécrire la trame

réseau distant à atteindre et joignable via le vpn: 192.168.0.0/255.255.255.0
ip de la passerelle locale : 192.168.21.251

Code: Tout sélectionner

iptables -t nat -A CUSTOMPOSTROUTING -d 192.168.0.0/255.255.255.0 -p tcp  --dport 80  -j SNAT --to-source 192.168.21.251

Merci à tous