Soucis Proxy à travers vpn [Resolu]

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Soucis Proxy à travers vpn [Resolu]

Messagepar Dorian Gray » 22 Sep 2008 14:57

Bonjour,

J'ai un soucis de proxy, je n'arrive pas depuis une de mes agences distante à accèder à un site internet local depuis celle ci.

détails de l'architecture :

192.168.0.0/24 === ipcop (.251) === internet === ipcop (.251) ==== 192.168.21.0/24

Les ipcops sont en distribution 1.4.21 avec advanced proxy + urlfilter

détails de l'erreur :

The requested URL could not be retrieved

--------------------------------------------------------------------------------

While trying to retrieve the URL: http://*******/**** (mon url locale)

The following error was encountered:

Connection to 192.168.0.14 Failed
The system returned:

(110) Connection timed outThe remote host or network may be down. Please try the request again.

Your cache administrator is webmaster.



sur votre forum j'ai trouvé un soucis que je pensais similaire j'ai donc ajouté dans le fichier /var/ipcop/proxy/advanced/acls/include.acl

acl monlan src 192.168.0.0/255.255.255.0
http_access allow monlan


mais rien ne change malgrès les reboot, vidage de cache .... ect.

A vrai dire je n'ai plus d'idées

voici en détails mon squid.conf

# Do not modify '/var/ipcop/proxy/squid.conf' directly since any changes
# you make will be overwritten whenever you resave proxy settings using the
# web interface!
#
# Instead, modify the file '/var/ipcop/proxy/advanced/acls/include.acl' and
# then restart the proxy service using the web interface. Changes made to the
# 'include.acl' file will propagate to the 'squid.conf' file at that time.

shutdown_lifetime 5 seconds
icp_port 0

http_port 10.254.254.251:800 transparent
http_port 192.168.21.251:800 transparent

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

cache_effective_user squid
cache_effective_group squid
umask 022

pid_filename /var/run/squid.pid

cache_mem 2 MB
cache_dir aufs /var/log/cache 1000 16 256

error_directory /usr/lib/squid/advproxy/errors.ipcop/English

access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none

log_mime_hdrs off
forwarded_for off
via off

acl within_timeframe time MTWHFAS 00:00-24:00

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 563 # snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 800 # Squids port (for icons)

acl IPCop_http port 81
acl IPCop_https port 445
acl IPCop_ips dst 10.254.254.251
acl IPCop_networks src "/var/ipcop/proxy/advanced/acls/src_subnets.acl"
acl IPCop_servers dst "/var/ipcop/proxy/advanced/acls/src_subnets.acl"
acl IPCop_green_network src 10.0.0.0/255.0.0.0
acl IPCop_green_servers dst 10.0.0.0/255.0.0.0
acl IPCop_blue_network src 192.168.21.0/255.255.255.0
acl IPCop_blue_servers dst 192.168.21.0/255.255.255.0
acl CONNECT method CONNECT

#Start of custom includes

acl poincare src 192.168.0.0/255.255.255.0
http_access allow poincare

#End of custom includes

#Access to squid:
#local machine, no restriction
http_access allow localhost

#GUI admin if local machine connects
http_access allow IPCop_ips IPCop_networks IPCop_http
http_access allow CONNECT IPCop_ips IPCop_networks IPCop_https

#Deny not web services
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Prevent internal proxy access to Green
http_access deny IPCop_green_servers !IPCop_green_network

#Set custom configured ACLs
http_access allow IPCop_networks within_timeframe
http_access deny all
http_access allow IPCop_networks within_timeframe
http_access deny all

#Strip HTTP Header
header_access X-Forwarded-For deny all
header_access Via deny all

maximum_object_size 4096 KB
minimum_object_size 0 KB

request_body_max_size 0 KB
reply_body_max_size 0 allow all

visible_hostname ipcop-wroclaw1.intrabeg.net

url_rewrite_program /usr/sbin/squidGuard
url_rewrite_children 5



Je suis preneur de toute aide proposé !
Dernière édition par Dorian Gray le 23 Oct 2008 16:51, édité 1 fois au total.
Dorian Gray
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 21 Mai 2008 14:14

Messagepar Dorian Gray » 24 Sep 2008 06:56

Toujours aucune idée?
Dorian Gray
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 21 Mai 2008 14:14

Messagepar jdh » 24 Sep 2008 09:35

Squid est un proxy qui fait partie d'IPCOP.

Il est donc prévu pour être "cohérent" avec la conception d'IPCOP.

En la matière, la config de Squid concernant le réseau interne est en rapport avec Green !

D'où

acl reseaulocal src 192.168.x.0/24
http_access allow reseaulocal

(ce sont les seules commandes intéressantes).

Il est clair que chaque squid utilise sa propre définition locale pour ces 2 lignes. Il n'y a surtout pas lieu d'ajouter le réseau de l'autre côté ... ce qui n'aurait aucun sens.


Avec le mode proxy transparent (http_port 10.254.254.251:800 transparent et http_port 192.168.21.251:800 transparent), le trafic va du PC au firewall qui effectue la demande http.

Y aurait-il un loup à ce niveau ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Gesp » 24 Sep 2008 09:53

J'ai un soucis de proxy, je n'arrive pas depuis une de mes agences distante à accèder à un site internet local depuis celle ci.


Tu ne dis pas trop comment c'est organisé.
Ou est placé le serveur à accéder, en green, en orange?

Comment est défini le vpn, je suppose que c'est en net to net d'un green à l'autre?
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar Dorian Gray » 24 Sep 2008 11:19

Merci de vos réponses
En fait il s'agit d'un VPN entre un réseau Vert et un réseau Bleu via Internet

ipcop1 qui fonctionne normalement
green : 192.168.0.0/24 (proxy transparent sur green)
orange : 192.168.100.0/24
red : Internet Static

ipcop2
blue DHCP :192.168.21.0/24 (proxy transparent sur blue)
green : 10.254.254.251/8 (proxy transparent sur green)>> expliquant la présence dans le squid.conf
red : Internet Static

Il s'agit bien d'un réseau net to net.

A noter que le blue et le green sont sur le mm switch ne communique pas au niveau IP (pas de routage fait) ça permet à l'admin distant d'attaquer en 10.254.254.251 pour manager les autoriasations sur bleu.
L'interface green ne possède pas de dhcp et est dédié au management.

Voilà vous savez tout
Dorian Gray
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 21 Mai 2008 14:14

Messagepar Dorian Gray » 25 Sep 2008 09:16

J'oubliais, l'ip du serveur à joindre en http, du réseau 21 au réseau 0 est : 192.168.0.4
Dorian Gray
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 21 Mai 2008 14:14

Messagepar Franck78 » 25 Sep 2008 22:41

A noter que le blue et le green sont sur le mm switch ne communique pas au niveau IP

????A quoi peut donc bien servir un firewall entre un point A et un point B quand les deux points sont les mêmes? Réponse: à rien !

J'ai toujours pas compris quel proxy génère le message. Mais si tu pensais utiliser le proxy de lan gauche à partir d'un machine de LAN droite, clairement, la config du proxy rejette la machine de droite ;-)

Maintenant, si à partir de Lan gauche tu n'atteins pas spécifiquement une machine de droite (au hazard le serveur) mais toutes les autres de droite, ....car je j'espère que tu as fait un minimum de test (ping?),... alors le problème est le serveur, pas squid.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Dorian Gray » 26 Sep 2008 07:54

????A quoi peut donc bien servir un firewall entre un point A et un point B quand les deux points sont les mêmes? Réponse: à rien !


Je parle du bleu et du green du mm Ipcop. Je ne cherche pas à mettre de firewall entre ces deux interface, quand bien mm si je le voulais et ce n'est pas le but de ce topic, une machine en green qui veut joindre un réseau bleu et qui n'a pas la route ou d'interface pour le joindre interroge sa passerelle par défaut et si celle ci est aussi firewall, elle est capable de droper les paquets.

Le proxy ne génère pas de message, c'est comme si il n'arrivait pas a atteindre la cible, mais aucune trace dans le tcpdump


Je remarque de plus en plus sur ce forum, de personnes qui montrent bien qu'elles sont surpuissante mais de moins en moins de réponses interressante dans les nouveaux topics. Statistiquement c'est souvant 5 messages de bache à enfoncer l'utilisateur qui poste, pour une résolution. Dommage.
Dorian Gray
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 21 Mai 2008 14:14

Messagepar Franck78 » 26 Sep 2008 20:31

Je parle du bleu et du green du mm Ipcop. Je ne cherche pas à mettre de firewall entre ces deux interface, quand bien mm si je le voulais et ce n'est pas le but de ce topic, une machine en green qui veut joindre un réseau bleu et qui n'a pas la route ou d'interface pour le joindre interroge sa passerelle par défaut et si celle ci est aussi firewall, elle est capable de droper les paquets.

Il y a un topic récurrent qui concerne des dysfonctionnements réseau en tout genre quand justement plusieurs interfaces d'IPCop sont 'en IP' et sur le même switch. Mais bon.


Le proxy ne génère pas de message, c'est comme si il n'arrivait pas a atteindre la cible, mais aucune trace dans le tcpdump

A la limite, on s'en fout du proxy. C'est un intermédiaire entre une machine du LAN-A et une autre du LAN-B*. D'ailleurs on ne sait toujours pas de quel proxy tu parles.

*enfin d'après ce qu'on peut comprendre....
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Dorian Gray » 26 Sep 2008 21:53

ipcop1 qui fonctionne normalement
green : 192.168.0.0/24 (proxy transparent sur green)
orange : 192.168.100.0/24
red : Internet Static

ipcop2
blue DHCP :192.168.21.0/24 (proxy transparent sur blue)
green : 10.254.254.251/8 (proxy transparent sur green)>> expliquant la présence dans le squid.conf
red : Internet Static


oubliais, l'ip du serveur à joindre en http, du réseau 21 au réseau 0 est : 192.168.0.4


En fait je parles du proxy distant, le proxy du réseau 21, celui qui a aussi les deux interfaces sur le mm switch. Je ferais les tests lundi pour voir si ça a une influence.

Merci.
Dorian Gray
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 21 Mai 2008 14:14

Messagepar Dorian Gray » 23 Oct 2008 16:44

Le soucis est maintenant résolu.

La configuration de l'ipcop ne permettait à l'interface rouge d'utiliser le vpn (normal), il faut donc réécrire la trame

réseau distant à atteindre et joignable via le vpn: 192.168.0.0/255.255.255.0
ip de la passerelle locale : 192.168.21.251


Code: Tout sélectionner
iptables -t nat -A CUSTOMPOSTROUTING -d 192.168.0.0/255.255.255.0 -p tcp  --dport 80  -j SNAT --to-source 192.168.21.251


Merci à tous
Dorian Gray
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 21 Mai 2008 14:14


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité