Squidguard, Proxy en mode transparent et pont réseau

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Squidguard, Proxy en mode transparent et pont réseau

Messagepar Alfarion » 08 Jan 2009 13:06

Bonjour,

J'essai de comprendre le pourquoi d'un petit problème.
La config réseau incriminée :

Réseau 2 - Pont wifi - Réseau 1 - Ipcop - Internet

Une route est crée sur l'IPCOP pour envoyer les requêtes Internet destinés au réseau 2 vers le pont wifi.
Les postes du réseau 2 ont comme adresse de passerelle l'adresse du routeur du pont wifi (c'est peut être içi qu'est le problème d'ailleurs...)
Sur IPcop est installé le module Squidguard.

Problème :
Si je n'active pas le proxy, pas de soucis, le réseau 1 et 2 ont accès à Internet.
Si j'active le proxy en mode transparent, le réseau 1 à accès au net mais pas le 2, indépendamment de l'activation ou non de squidguard. Les postes du réseau 2 ont alors un message d'IPCOP leur annonçant (en gros, il faudrait que je retourne sur place) qu'ils ne peuvent se connecter.

Suis-je condamné à paramétrer à la main sur les postes du réseau 2 l'adresse du proxy dans le navigateur ? Ou bien une config particulière à faire sur l'IPCOP (un problème sur Squid ?)

Merçi d'avance.
Alfarion
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Juil 2007 16:28

Messagepar ccnet » 08 Jan 2009 14:15

Une route est crée sur l'IPCOP pour envoyer les requêtes Internet destinés au réseau 2 vers le pont wifi.
Les postes du réseau 2 ont comme adresse de passerelle l'adresse du routeur du pont wifi


Pour commencer, et bien comprendre, il est nécessaire de parler le même language. Le dispositif Wifi est il un pont ou un routeur ? "Le routeur du pont" c'est vraiment quelque chose que je ne comprend pas. D'après le reste de votre message il semblerait que ce soit un routeur.

Ensuite un commentaire sur l'architecture qui me semble bancale. Le réseau 2 devrait être connecté à Ipcop via le dispositif Wifi. Je ne sais pas ce qui vous pousse à adopter cette architecture mais il est clair qu'elle ne peut être que source de problème. La preuve d'ailleurs ...

un message d'IPCOP leur annonçant (en gros, il faudrait que je retourne sur place) qu'ils ne peuvent se connecter.


Donnez le vrai message. Comment voulez vous une aide efficace avec une telle imprécision.

Enfin vous ne donnez aucun information sur l'adressage de l'ensemble.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Alfarion » 08 Jan 2009 15:20

Désolé pour l'imprécision.
Il s'agit bel et bien d'un pont wifi (du Cisco Aeronet) entre 2 structures éloignées. A chacune des extremités du pont un routeur Cisco.

En terme d'adressage :

Réseau 1 :
Poste client en 192.168.1.x avec passerelle en .1 (le routeur cisco du réseau 1)
Ipcop en 192.168.1.254 (avec la route suivante : 192.168.2.0 -> 192.168.1.1)
Routeur cisco du pont wifi, côté réseau 1 : 192.168.1.1 avec 2 routes définies :
- une envoyant les requêtes 192.168.2.x destinées au réseau2 vers le routeur cisco côté réseau 2
- une autre envoyant les requêtes destinées au réseau externe (Internet) vers l'IPCOP.

Réseau 2 :
Poste client en 192.168.2.x avec passerelle en .1 (le routeur cisco du réseau 2)



Le message d'erreur sur le réseau 2 :
While trying to retrieve the URL: http://www.google.fr/
The following error was encountered:
• Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.


Ce message n'apparait sur les postes du réseau 2 que si j'active le mode transparent. Non activé, les postes ont accès à Internet (mais dans ce cas, sans passer par le proxy d'IPCOP).

Je présume qu'il s'agit d'un problème sur squid mais sur quel fichier taper pour regarder ca ?
Alfarion
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Juil 2007 16:28

Messagepar ccnet » 08 Jan 2009 16:59

On comprend mieux. Le dispositif qui connecte réseau 2 et réseau 2 est donc constitué d'un pont Wifi et de 2 routeurs. Les réseaux 1 et 2 sont respectivement 192.168.1.0/24 et 192.168.2.0/24.

Le choix de l'architecture est discutable, pour le moins, compte tenu du risque que la liaison wifi fait courir à l'ensemble des réseaux situés derrière le firewall. Le routeur qui est actuellement côté réseau 1 devrait être connecté au firewall. Le problème reste qu'ipcop n'est peut être pas très adapté si réseau 2 et réseau 1 doivent disposer des même possibilités d'accès à des serveurs internes en particulier.

Au delà de cette observation la solution est probablement dans squid.conf. Je n'ai pas le temps de creuser à votre place mais regardez de ce côté ci : http://www.deckle.co.za/squid-users-gui ... ss_Control
Cela vaut pour un squid autonome dans une implémentation ipcop je ne sais pas comment cela se gère. Ni si c'est possible car votre configuration réseau est en dehors de ce pourquoi ipcop est prévu.
Je peux me tromper. Mais basiquement je ne vois pas pourquoi squid sur ipcop accepterait spontanément des connexions ip venant d'un réseau qui n'est pas le réseau Green d'ipcop. Chez vous le réseau Green est 192.168.1.0/24 alors que vous voulez aussi connecter des clients venant de 192.168.2.0/24.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Alfarion » 09 Jan 2009 12:32

Le problème reste qu'ipcop n'est peut être pas très adapté si réseau 2 et réseau 1 doivent disposer des même possibilités d'accès à des serveurs internes en particulier.

C'est effectivement le cas, le réseau 1 et réseau 2 font parti d'un même réseau dont les ressources sont situés dans le réseau 1. C'est juste que pour des raisons de place, nous avons dû déplacer une partie des bureaux dans un autre bâtiment.

Sinon, j'ai avancé un peu.
J'ai bricolé un peu le fichier de config squid.conf pour voir comment il réagissait et j'ai ajouté les lignes suivantes :

acl reseau2 src 192.168.2.0/255.255.255.0
http_access allow reseau2

Les postes du réseau2 ont accès maintenant à Internet même en mode transparent.
Alfarion
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Juil 2007 16:28

Messagepar Alfarion » 09 Jan 2009 12:37

D'ailleurs, je viens de trouver par hasard ce sujet là. La problèmatique était la même. Je n'avais pas du mettre les bons mots clés lors de ma précédente recherche.

http://forums.ixus.fr/viewtopic.php?p=2 ... 61d51c9510
Alfarion
Matelot
Matelot
 
Messages: 10
Inscrit le: 25 Juil 2007 16:28

Messagepar ccnet » 09 Jan 2009 12:56

Je n'en suis pas surpris. Donner les bonnes informations dès le départ (topologie exacte du réseau, adressage, message d'erreur exacte) permettait sans ambiguité de donner la cause du problème immédiatement, c'est à dire résoudre la moitié du problème.
Le lien cité est bien sûr la solution.
Le problème de l'insécurité qu'engendre cette architecture reste néanmoins entier. Une liaison wifi ne pouvant être mise sur le même plan d'une liaison Transfix.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron