Proxy transparent avec relai DHCP

[zealucard]

Salut tous !

Je test SME Server 7 en ce moment mais je n'arrive pas à faire ce que je veux. Je m'explique.
J'ai un réseau existant relié à un routeur VPN. J'aimerai ajouté un serveur proxy transparent et donc je suis obligé de mettre un serveur en passerelle pour cela.

Seulement, il faudrait que les ordinateurs soient accessibles de l'extérieur (VPN) et que, en même temps, ils puissent accéder au VPN. Comme ils accèdent à Internet via ce VPN, il faudrait que je filtre uniquement les requête internet (HTTP, FTP, P2P, Streaming, ...)

Schéma (parce que je ne suis pas doué en explications ) :

Internet ---- VPN (Passerelle) ---- PROXY (SME) ---- LAN (DHCP existant avec PDC)

Ce qui est écrit en rouge est l'élément à ajouter à l'existant.

Conditions :

1- SME laisse passer les requêtes DHCP
2- SME a 2 cartes réseaux qui doivent avoir le même type d'IP car le lan doit avoir le même type d'ip que la passerelle. (ex: eth0-192.168.2.253 et eth1-192.168.2.254)

Questions :

1- Déjà, est-ce c'est possible ?
2- Comment paramétrer le routage IP VPN vers LAN ? (ex: 192.168.1.1 du VPN veut se connecter au 192.168.2.16 du LAN)
3- Comment activer un proxy transparent ?

Merci pour votre aide.

P.S. : Si la réponse de la question 1 est non, quelles seraient les autres possibilités ?

[trixel]

Euh il me semble que SME fait très bien la translation d'ip, le problème c'est qu'il va laisser passer dans un sens (sortie) mais pas dans l'autre (entrée), pourquoi ne pas simplifier ton système et utiliser SME comme VPN et serveur DHCP ?
Le proxy transparent est activé de base sous sme

[fred-info]

Idem
openvpn

[zealucard]

Malheureusement, le routeur VPN Cisco mis en place doit rester car plusieurs sites sont interconnectés de cette façon. Ce qui explique aussi la contrainte des adresses IP.

Sinon j'avais la possiblité de faire un proxy simple à déclarer dans les naviguateurs mais il suffit de supprimer ce paramètre pour surfer en direct.

Voilà pourquoi je demande différentes idées parce que là, je suis bloqué.

[trixel]

Pour répondre à ta question, ma SME n'est pas en passerelle (à cause du Wifi de la freebox), mais elle sert de serveur DHCP, et du coup devient proxy transparent. En gros mon PC demande son IP, il l'obtient de SME qui se définit en passerelle, et toute requete d'un PC pour le net passe d'abod par SME et c'est SME qui répond. D'un point de vue sécurité c'est pas top, mais je suppose que tu as déjà un firewall, donc ce n'est pas génant. Mais bon utiliser SME comme simple proxy et serveur DHCP, il y'aurait peut-etre des solutions plus simple ? Ton routeur Cisco n'a pas de fonctions Proxys ?

[Titofe]

Bonjour,

J’ai rencontré il y a peu de temps un problème similaire,
Je pense que pour ce tu recherche il faudra faire une installe de sme7 en serveur seul, puis faire ce que dit mad_dog dans ce poste :DansGuardian, DHCP et Noms d'hôte et adresses sur SME7

Désolé je n’ai pas plus de temps pour le moment.

Titofe

[zealucard]

Trixel :

Malheureusement le routeur Cisco ne fait pas proxy, et même si c'était le cas, le FAI ne nous laisse pas d'accès aux routeurs donc on ne pourrait pas le régler comme on veut.


Titofe :

Je suis en train de lire le post et effectivement il y de l'idée ! Je vais tester et je vous tiendrai au courant de l'avancement (ou peut être même de la finalisation ) de la mise en place du proxy.

[sibsib]

Malheureusement, le routeur VPN Cisco mis en place doit rester car plusieurs sites sont interconnectés de cette façon. Ce qui explique aussi la contrainte des adresses IP.

Sinon j'avais la possiblité de faire un proxy simple à déclarer dans les naviguateurs mais il suffit de supprimer ce paramètre pour surfer en direct.

Voilà pourquoi je demande différentes idées parce que là, je suis bloqué.

Hello,

Là, c'est super simple : tu laisses ton SME en serveur seul et tu demandes aux âmes chariatables qui gèrent ton cisco de n'autoriser les requêtes HTTP que depuis l'IP de SME. Comme çà, les petits malins qui désactivent le proxy vont faire la tronche !

A+,
Pascal

[Stirner]

Salut,


Avant toute chose je tiens à préciser que ceci n'est pas un troll et souhaiterais que cela reste ainsi. (merci aux modos de supprimer ce post si vous constatez que cela part en vrille).

Je répond sûrement à coté de la plaque mais bon... Pourquoi ne pas utiliser un Ipcop+BOT à la place de ta SME ? Il me semble que l'objectif que tu souhaites atteindre relève plus des compétences d'un Ipcop que d'une SME, non ?


Cordialement Stirner

[jibe]

Salut,

<--- ceci est un troll

Bon, je plaisante Plus sérieusement, je suis tout à fait d'accord avec toi, Stirner. Je ne connais pas assez Ipcop pour dire si ce serait mieux, mais je pense qu'il faut toujours se poser la question de savoir quelle est la distrib la mieux adaptée. Et dans ce cas, pour un simple proxy, je ne suis pas sûr que SME soit la meilleure...

[sibsib]

Hello,

Il est effecitvement tout a fait possible que IPCop soit plus adapté si la seule fonction de SME soit d'être proxy.

Cependant, vu le cahier des charges initial (Un SME/IPCop avec deux cartes réseaux en point de coupure en n'utilisant qu'un seul et même LAN de chaque côté du serveur), je pense que c'est mal barré avec nos distro chéries.

En gamme pro (et donc $$$$ ) il existe des équipements de traffic shaping (qui permettent d'optimiser l'utilisation de la bande passante) qui travaillent intégralement au niveau 2. Aucune adresse IP sur les deux interfaces, la conf par défaut est totalement transparente, par contre, le boitier analyse (et plutôt finement !) le contenu des trames et peut interdire ou prioriser à un niveau très petit les trafics non souhaités.

Exemple : le FTP est autorisé mais ne peut prendre au maxi que la moitié de la bande passante, et se trouve en très basse priorité : le ftp est quasi coupé si un trafic plus prioritaire se présente -un flux léger est maintenu pour éviter les coupures de connexion.
Autre exemple : le surf est possible, mais pas le streaming (et là, on va nettement plus lois que le filtrage sur le port 80, puisque maintenant, le port 80 véhicule tout et n'importe quoi).

Désolé pour la digression, mais voila le pourquoi de mon exposé : S'il existe de tels appareils pros (qui, pour tout ceux que j'ai vu tourner tournaient sous Linux ), je suppose qu'il doit être possible de trouver des packages dans le monde Open Source qui assurent ce genre de service. Et dans ce cas, le produit répondra tout à fait au cahier des charges (enfin, le cahier des charges que j'ai compris )

Cependant, je pense que de demander au FAI de bloquer les ports 80, 443, 8080, 20, 21 pour toutes les IP du LAN sauf celle du serveur SME, afin de rendre le passage par SME indispensable aux surfeurs (remplacez d'ailleurs SME dans ce cas précis par proxy squid, puisque c'est de çà dont on parle) me semble très rapide à mettre en place et très fiable.

A+,
Pascal

[zealucard]

Merci pour toutes ces réponses.

Je n'ai pas trop eu le temps de tout tester mais je me suis installé un petit labo et j'ai IPCOP et SME. Pour le choix de la distrib, je viens de m'apercevoir que IPCOP a une interface Web peut être plus complète avec IPCOP+ (DansGuard ou SquidGuard en GUI c'est plus facile) mais j'ai peur que ce que je veux faire soit impossible (illogique).


LAN Actuel (192.168.0.0/24) -----|
. . . . . . . . . . . . . . . . . . . . . . . . . . |----- Routeur VPN (192.168.0.1)
Proxy (192.168.0.2) ---------------|

Si je met le Proxy en passerelle ça permet de faire un proxy transparent et toutes les requêtes vers l'extérieur passeront sans problèmes (vu sur un autre post), mais aussi ça permet aux PC du VPN d'accéder à n'importe quel poste du LAN sans soucis et sans passer par le proxy. Du coup ce serait génial dans le meilleur des mondes.

Seulement, je galère dans la configuration du réseau pour que ça marche. Je vais essayer d'approfondir (j'ai plus de temps aujourd'hui).