Bonjour à tous,
J'ai un probléme avec la distributuion IPCOP. Je désire installer cette distrib par salle info, le tout derriere un serveur KWARTZ existant servant de proxy vers internet. Je voudrais pouvoir accéder à internet depuis la console de IPCOP, pour celà il faut l'identifier sur le kwartz avec identd. J'ai téléchargé le package pidentd mais comment faire pour l'installer sans compilateur ?
Désolé si la question vous semble stupide et merci d'avance pour vos réponses.
Installation client identd sur ipcop
Modérateur: modos Ixus
8 messages
• Page 1 sur 1
Installation client identd sur ipcop
par jdsnet » 28 Jan 2008 17:50
- jdsnet
- Matelot
- Messages: 4
- Inscrit le: 28 Jan 2008 17:42
AR
par jdsnet » 29 Jan 2008 10:57
Bonjour et merci pour l'intérêt porté à ma question. Un petit schéma vaut peut mieux qu'un long discourt, alors voilà.
Salle de cours
Client XP -------- (Green)IPCop(Red)--------KWARTZ(DHCP +Proxy)-------Modem ADSL
Je veux laisser le kwartz en oeuvre à cause du travail déjà effectué autour de celui-ci, mais je désire connecter les postes clients (environ 100) non plus directement, mais au travers d'un routeur (IPCop) connecté au kwartz. Le serveur KWARTZ met en oeuvre un proyy 'internet' avec identd. Un executable est nécessaire sur les postes clients XP (Kwartz-auth.exe) et les postes clients Linux ont besoin du package PIDENTD pour pouvoir utiliser le proxy du Kwartz. Quand je mets en oeuvre cette architecture, depuis la console IPCop, je peux 'pinguer' le kwartz, et si j'essaye un site externe, la résolution DNS s'effectue, mais l'ICMP ne passe pas. Je pense que celà est du au fait IPCop n'est pas authentifié sur le serveur KWARTZ, pour ce faire, je dois installer le package PIDENTD, et c'est là que je bloque car pas d'outils (compilateur, make...) pour pouvoir le faire.
Salle de cours
Client XP -------- (Green)IPCop(Red)--------KWARTZ(DHCP +Proxy)-------Modem ADSL
Je veux laisser le kwartz en oeuvre à cause du travail déjà effectué autour de celui-ci, mais je désire connecter les postes clients (environ 100) non plus directement, mais au travers d'un routeur (IPCop) connecté au kwartz. Le serveur KWARTZ met en oeuvre un proyy 'internet' avec identd. Un executable est nécessaire sur les postes clients XP (Kwartz-auth.exe) et les postes clients Linux ont besoin du package PIDENTD pour pouvoir utiliser le proxy du Kwartz. Quand je mets en oeuvre cette architecture, depuis la console IPCop, je peux 'pinguer' le kwartz, et si j'essaye un site externe, la résolution DNS s'effectue, mais l'ICMP ne passe pas. Je pense que celà est du au fait IPCop n'est pas authentifié sur le serveur KWARTZ, pour ce faire, je dois installer le package PIDENTD, et c'est là que je bloque car pas d'outils (compilateur, make...) pour pouvoir le faire.
- jdsnet
- Matelot
- Messages: 4
- Inscrit le: 28 Jan 2008 17:42
par ccnet » 29 Jan 2008 11:23
Nous avons maintenant un énnoncé plus clair du problème. Sur quel élément KWARTZ authentifie t il un utilisateur ? Ipcop ne fait que router le traffic et je ne vois pas, à ce stade, pourquoi il devrait être authentifié. D'après votre schéma, pour moi, les postions de kwartz et ipcop devrait être inversées. Je ne vois pas bien, dans votre cas, la raison pour laquelle un firewall sépare les postes du proxy ?
Au fait quelles adresses ip utilisez vous sur GREEN et RED ?
Au fait quelles adresses ip utilisez vous sur GREEN et RED ?
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdsnet » 29 Jan 2008 13:13
Décidemment, les vitesses à laquelle vous répondez m'enthousiasme, merci.
Ce n'est pas tant le firewall, mais le routeur et éventuellement le proxy qui m'interresse dans la distribution IPCop. Je désire mettre en place un routeur par salle de cours avec un service DHCP car nous utilisons également des machines virtuelles et c'est difficile à gérer sur un seul réseau IP. L'idée est donc de créer des sous-réseaux par salle. Arbitrairement en 172.16.X.Y/24 où X est le numéro de salle. La green de IPCop porte l'adresse 172.16.X.1, la red est pour l'instant cliente DHCP du serveur KWARTZ en 192.168.1.Z/24 (pas de réservation à ce stade, à venir mais c'est sans complications). Le but est qu'un formateur, par l'intermédiaire de l'interface WEB du kwartz puisse couper l'accés Internet à une salle de cours en refusant l'accés extérieur à son routeur IPCop mais continue à utiliser l'intégralité des serveur internes (ganhesa). Le proxy de IPCop devrait permettre d'accéler l'accés aux pages internes car au sein d'un même groupe, c'est la même page qui est souvent demandée ou le même logiciel.
Pour l'instant, les postes XP accrochent bien le dhcp de IPCop et atteignent le KWARTZ dans un réseau IP différent (TTL=63). Par contre, quand j'essaye de pinguer un site web externe, la résolution DNS s'effectue mais pas de réponse.
En ce qui concerne l'authentification KWARTZ, voilà ce qu'ils en disent :
Accès à internet
apt-get install pidentd
Pour pouvoir accéder à internet, il faut installer et activer le paquet pidentd. Sur une installation standard debian de type station de travail, ce paquet est installé d’office. Sinon, vous devez le faire :
apt-get install pidentd
puis le configurer. Dans le fichier /etc/inetd.conf vous devez avoir une ligne du type :
ident stream tcp wait identd /usr/sbin/identd identd
Ce n'est pas tant le firewall, mais le routeur et éventuellement le proxy qui m'interresse dans la distribution IPCop. Je désire mettre en place un routeur par salle de cours avec un service DHCP car nous utilisons également des machines virtuelles et c'est difficile à gérer sur un seul réseau IP. L'idée est donc de créer des sous-réseaux par salle. Arbitrairement en 172.16.X.Y/24 où X est le numéro de salle. La green de IPCop porte l'adresse 172.16.X.1, la red est pour l'instant cliente DHCP du serveur KWARTZ en 192.168.1.Z/24 (pas de réservation à ce stade, à venir mais c'est sans complications). Le but est qu'un formateur, par l'intermédiaire de l'interface WEB du kwartz puisse couper l'accés Internet à une salle de cours en refusant l'accés extérieur à son routeur IPCop mais continue à utiliser l'intégralité des serveur internes (ganhesa). Le proxy de IPCop devrait permettre d'accéler l'accés aux pages internes car au sein d'un même groupe, c'est la même page qui est souvent demandée ou le même logiciel.
Pour l'instant, les postes XP accrochent bien le dhcp de IPCop et atteignent le KWARTZ dans un réseau IP différent (TTL=63). Par contre, quand j'essaye de pinguer un site web externe, la résolution DNS s'effectue mais pas de réponse.
En ce qui concerne l'authentification KWARTZ, voilà ce qu'ils en disent :
Accès à internet
apt-get install pidentd
Pour pouvoir accéder à internet, il faut installer et activer le paquet pidentd. Sur une installation standard debian de type station de travail, ce paquet est installé d’office. Sinon, vous devez le faire :
apt-get install pidentd
puis le configurer. Dans le fichier /etc/inetd.conf vous devez avoir une ligne du type :
ident stream tcp wait identd /usr/sbin/identd identd
- jdsnet
- Matelot
- Messages: 4
- Inscrit le: 28 Jan 2008 17:42
par ccnet » 29 Jan 2008 14:27
Je traiterai , je pense, le problème autrement. J'utiliserai Pfsense plutot qu'ipcop. Cela éviterai de devoir mettre une machine ipcop par salle tout en ayant la possibilité de gérer de multiples sous réseaux et vous ne seriez pas obligé d'utiliser le nat, mais simplement le routage. Pfsense possède aussi un serveur DHCP des fonctions de Proxy. Sur ipcop le rôle des interfaces est fortement déterminées dès le départ. Pfsense est beaucoup plus versatile. Et je ne suis pas certain que le problème pidentd se pose encore.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par jdsnet » 29 Jan 2008 14:52
Merci de votre aide,
Je connaissais pas cette distrib, je suis donc en cours de téléchargement de l'ISO pour test dans une machine virtuelle. Par contre, je pense que je serai toujours obliger de passer par l'étape Identd auprés du kwartz. Je teste ça et je vous raconte.
Merci encore...
Je connaissais pas cette distrib, je suis donc en cours de téléchargement de l'ISO pour test dans une machine virtuelle. Par contre, je pense que je serai toujours obliger de passer par l'étape Identd auprés du kwartz. Je teste ça et je vous raconte.
Merci encore...
- jdsnet
- Matelot
- Messages: 4
- Inscrit le: 28 Jan 2008 17:42
par ccnet » 29 Jan 2008 15:05
Si j'ai bien compris le protocole Identd, avec un traffic routé je ne vois pas de problème mais il faut ouvrir le port utilisé, le TCP 113 je crois, pour envoyer le nom de l'utilisateur au serveur Identd. Le routeur est transparent dans cette affaire.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
8 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 3 invité(s)