[RESOLU] lightsquid + IPCOP

par **altaramis** » 20 Mars 2009 12:58

Bonjour,

Une petite question.
Y a t'il moyen d'installer LightSquid sur IPCOP ?
Je n'est pas trouvé d'addon.
Mais comme la plupart des prérequis sont là perl, squid,cron sauf apache mais comme il y a déja un service web. je me disait qu'il y a peut être un espoir de l'installer quand même.
LightSquid permet d'avoir des statistiques bien ficelé et trés simple. Je l'utilise sur du PFsense mais j'ai un gros problème avec les connexions PPTP sur un même serveur à cause du protocol GRE.

Solution,

Comme promis je vous donne ma démarche pour installer LightSquid sur IPCOP.
Dans l'outil d'admin IPCOP => Service proxy : Activer les logs
Copie de l'archive LightSquid sur l'IPCop avec scp ou winscp ou aure.
http://lightsquid.sourceforge.net/
Se connecter en console sur l'IPCop

cd /home/httpd/html
tar -xvzf /chemin ou se trouve l'archive/lightsquidx.x.x.tgz

Renomer le dossier lightsquid et mise en place des droits

mv lightsquidx.x.x lightsquid
chown root:root lightsquid
chmod g-w lightsquid
cd lightsquid
chmod og+x *.cgi

Editer le fichier lightsquid.cfg et modifier les chemins /var/www/ par /home/httpd.

#path to additional `cfg` files
$cfgpath ="/home/httpd/html/lightsquid";
#path to `tpl` folder
$tplpath ="/home/httpd/html/lightsquid/tpl";
#path to `lang` folder
$langpath ="/home/httpd/html/lightsquid/lang";
#path to `report` folder
$reportpath ="/home/httpd/html/lightsquid/report";
#path to access.log
$logpath ="/var/log/squid";
#path to `ip2name` folder
$ip2namepath ="/home/httpd/html/lightsquid/ip2name";

mise en place du crontab pour actualiser les rapports
commande 'fcrontab -e'
et ajouter la ligne ( mise a jour toutes les dix minute )

*/10 * * * * /home/httpd/html/lightsquid/lightparser.pl

Faire un peut de trafic.
Lancer la commande

/home/httpd/html/lightsquid/lightparser.pl

aller sur

https://ip_de_ipcop:445/lightsquid/

Voilà

par **jdh** » 20 Mars 2009 16:22

Utilisateur de pfSense depuis déjà 2 ans, j'ai découvert et adopté immédiatement lightsquid.

Les prérequis lightsquid sont ... light :
- perl : ok dans ipcop
- http server : ok avec apache dans ipcop
- squid : ah bon, il faut squid pour lightsquid ?
- cron : ça doit bien exister dans ipcop : regarder "crontab -l" et des répertoires comme /etc/cron/...

Donc cela devrait le faire.

Néanmoins, pourquoi réinventer la roue ? Si lightsquid est disponible dans l'excellent pfSense, pourquoi ne pas profiter de l'opération pour basculer vers un (vrai) vpn moderne comme OpenVPN ?

C'est un peu la même chose : un jour, j'ai dit "il faut que j'essaie", et depuis je multiplie les openvpn ... tellement c'est simple !

par **altaramis** » 20 Mars 2009 17:09

Je préfére efectivement PFsense aussi. Surtout pour la config du FW qui est bien plus claire.

Toutefois sur le problème VPN, je ne peut faire du VPN réseaux à réseaux pour les itinérants, qui se connectent de mon réseaux vers des VPNs distant seulement maitrisé par des règles de firewall.

Je vient de finir de mettre en place lightsquid sur un IPcop de test.
Il est pleinement fonctionnel.
pas de crontab mais un fcrontab ou un fcron.
pas apache mais un httpd.

Si c'est pas trop compliqué de faire un addon je me pencherais peut être dessus.

D'ailleurs si vous avez des infos à ce sujet je suis preneur.

Merci

par **jdh** » 20 Mars 2009 18:22

Je ne comprends pas bien la problématique VPN exprimé là.

Il me semble évident que PPTP est un protocole de VPN à bannir en général ("vieux", contraignant, ms, ...). Il peut, à la rigueur, être utilisé en dépannage en roadwarrior.

J'ai mis en oeuvre OpenVPN à partir de serveur Windows, Debian et pfSense en mode roadwarrior. C'est top.
Je viens de mettre OpenVPN à partir de pfSense en mode site-à-site. C'est immédiat mais j'ai des doutes sur le maintien dans le temps. C'est facilement contrôlable puisque il suffit d'écrire les règles de chaque côté (Rules > Lan).

Il me semble clair qu'il ne peut y avoir de VPN sortant dans mon réseau (un nomade qui voudrait se connecter à ... Niet, et puis quoi encore !)

par **altaramis** » 20 Mars 2009 20:04

Peut-être que toi sur ton réseau tu peux te permettre d'interdire les VPN sortants, mais pas moi.

J'ai divers types de connexion de l'extérieur.
SSL explorer pour la maintenance à distance de serveurs de services avec une gestion de compétence des admis env. 10 (ils n'ont accès qu’à ce que je leur autorise).
Un VPN réseau à réseau permanent en IPSEC sur un routeur hard avec une agence externe env. 20 utilisateurs montant et 35 descendants et un AD synchronisés.
Un VPN/TSE en PPTP avec une gestion des comptes roadwarior, env. 100, dans l'AD. ( utilisation de méthodes de connexion native de Windows aucun client à installer)

se rajoute a tout ça des connexions diverses sortant sur des petites agences env. 10 avec leur admis qui choisissent leurs méthodes de VPN ( dont certain en PPTP).

Le PFsense ou IPcop ne sert qu'a donner un accès limité à internet (firewall sortant).Avec des outils snmp et de log pour limiter la casse qu'en une personne fait n'importe quoi et nous bouffe toute la bande passante.

Ceci n'est qu'une petite partie de mon réseau il y a encore deux DMZ, etc., etc.

Les serveurs PPTP fonctionnent sur mon réseau depuis 5 ans sans problèmes d'intrusion et de sécurité.

Je ne peux me permettre d'installer des services dont je n'ai pas de maitrise.

De toute façon, la question n'est pas là.

J'ai besoin de stats comme lightsquid pour pister les bran.... qui se permettent bien des choses.
J'ai choisi PFsense. Le hic c'est ce problème de PPTP non résolu aujourd'hui sur PFsense.
Donc, je reviens en arrière sur un proxy IPCop ou j'essaye t'en bien que mal à y mettre les services qui me permettent de pister rapidement sans trop de soucis les anomalies.

Pour lightsquid je ferais un petit tuto plus tard pour l'installer sur un IPCOP a la main.

par **ccnet** » 20 Mars 2009 20:47

Le hic c'est ce problème de PPTP non résolu aujourd'hui sur PFsense.

A quel problème faites vous allusion ?

La multiplication des différentes solutions vpn va à l'encontre d'une possibilité de sécurité optimale. C'est simplement mathématique. La probabilité de failles exploitables est directement proportionnelle au nombre de systèmes différents mis en parallèle. Plus il y a de systèmes différents à patcher plus il y a de risque d'en oublier, sans compter le travaol nécessaire pour surveiller le tout. PPTP est un protocole obsolète on sait qu'il n'est plus sérieusement utilisable.

Peut-être que toi sur ton réseau tu peux te permettre d'interdire les VPN sortants, mais pas moi.

C'est quand même un risque très, très important. Le rêve pour les canaux cachés !

par **altaramis** » 20 Mars 2009 21:52

ccnet a écrit:A quel problème faites vous allusion ?

Le problème du protocole GRE. L'impossibilité d'avoir deux connexions PPTP , traversant PFsense, sur un même serveur.

ccnet a écrit:La multiplication des différentes solutions vpn va à l'encontre d'une possibilité de sécurité optimale. C'est simplement mathématique. La probabilité de failles exploitables est directement proportionnelle au nombre de systèmes différents mis en parallèle. Plus il y a de systèmes différents à patcher plus il y a de risque d'en oublier, sans compter le travaol nécessaire pour surveiller le tout. PPTP est un protocole obsolète on sait qu'il n'est plus sérieusement utilisable.

Je suis d'accord. C'est bien pour ça que j'essaie de minimiser le nombre solution VPN entrante et sortante. Toutes fois ces canaux VPN sont limités à un petit secteur et n'ont qu'un accès très limité au réseau. La structure de notre réseau est très complexe pour ça..

ccnet a écrit:C'est quand même un risque très, très important. Le rêve pour les canaux cachés !

Le pptp est historique, c'est vrai, et peu sécurisé, mais les données stratégiques n'y circulent pas. De plus avec des bâtiments avec beaucoup de passage, pas besoin de canaux cachés pour se faire hacker. Avec du Social Engineering, même avec les meilleures sécurités du monde, une partie d'un réseau et forcement ouvert.

Les risques doivent être mesurés et validés.

par **jdh** » 20 Mars 2009 22:49

C'est bien ce que j'avais imaginé. Hélas !

2 GRE, mais c'est impossible. C'est comme la plupart des protocoles : smtp, ftp, ... Le protocole http est lui prévu pour fonctionner dans ce cas là.

C'est bien pour cela qu'un OpenVPN directement au niveau du firewall simplifierait tout cela.

par **altaramis** » 20 Mars 2009 23:40

jdh a écrit:C'est bien ce que j'avais imaginé. Hélas !

2 GRE, mais c'est impossible. C'est comme la plupart des protocoles : smtp, ftp, ... Le protocole http est lui prévu pour fonctionner dans ce cas là.

C'est bien pour cela qu'un OpenVPN directement au niveau du firewall simplifierait tout cela.

Non c'est pas impossibles.
D'ailleurs avec IPCop voir d'autre il n'y a pas ce problème.
La technique des firewalls pour rendre tout ça possible est d'utiliser des tables de correspondances entre l'IP du demandeur , L'IP de destination associée au port de session du demandeur et celui de la destination.
Mais pour qu'il le fasse. Il faut qu'il connaisse le service associe au port ou protocole (ftp, smtp, gre, esp, icmp, etc.)
Iptable par exemple on trouve les modules conntrack, dans PFSence je ne sais pas comment il le fait. D'ailleurs pour le FTP avec PFSense il y a une bidouille avec un proxy FTP pour que ça fonctionne en mode passif.
Un site qui l'explique trés bien :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-07.html

par **jdh** » 21 Mars 2009 08:36

2 GRE simultanés n'est pas possible.

L'accès à un serveur PPTP interne exige de faire, au niveau du firewall, un renvoi du trafic tcp/1723 et ip/47 vers le serveur. (la notation tcp/1723 signifie le port 1723 du protocole tcp, tandis que la notation ip/47 signifie le protocole ip n° 47 i.e. GRE).

Comment peut-on faire la même chose pour 2 serveurs PPTP avec une seule adresse ip externe ? Eh bien on ne peut pas !

Avec une seule adresse ip externe, il ne peut y avoir 2 serveurs smtp, ftp, pptp, ... parce que on ne peut répondre à la question comment trier ce qui doit être envoyé à l'un ou à l'autre des serveurs internes !

(je demande de réfléchir 2 minutes)

Et même pour http, il n'y a en fait qu'un seul serveur vers lequel le trafic tcp/80 est renvoyé MAIS, astuce, celui peut faire le tri et dispatcher vers 2, 3, ... serveurs selon le nom dns (www.dns1.com, www.dns2.com, ...). (Cela est du au fait que dans la requête transmise à une adresse ip, il y a en clair la requête www.dns1.com : le forward du trafic n'exclue pas le tri ensuite.)

Il y a là un "enfermement" :
- d'abord PPTP est une solution obsolete : depuis Win 2003, Microsoft préconise L2TP !
- ensuite PPTP signifie Point to Point : donc 2 serveurs ne fonctionneront pas !

Enfin, OpenVPN n'est ni compris ni testé : un seul port (de préférence sur le protocole udp), aucune difficulté à traverser des routeurs NAT, et, must, le serveur fournit les routes accessibles.

Là, un openvpn placé sur le pfsense, et d'un seul vpn, accès à toutes les ressources voulues !
En plus, OpenVPN est basé sur des certificats : il est donc possible de révoquer un certificat avant terme : cas d'un salarié qui quitte l'entreprise : il peut avoir copié son certificat avant d'avoir restitué son pc, celui-ci ne fonctionnera plus !

(De plus, il doit être possible de filtrer à quelles ressources les clients openvpn ont accès en se basant sur l'ip attribuée mais je n'ai pas testé.)

Essaie au moins ...

par **altaramis** » 21 Mars 2009 09:45

jdh a écrit:Comment peut-on faire la même chose pour 2 serveurs PPTP avec une seule adresse ip externe ? Eh bien on ne peut pas !

Effectivement, on ne s’est pas compris.
Déjà ce n'est pas des VPNs serveur à serveur, mais Client à serveur.
Je n'ai pas qu'une seule ip plublic.
Et le problème avec PFsene c'est deux connexions de deux clients différents qui se connectent sur un seul serveur VPN.

jdh a écrit:Avec une seule adresse ip externe, il ne peut y avoir 2 serveurs smtp, ftp, pptp, ... parce que on ne peut répondre à la question comment trier ce qui doit être envoyé à l'un ou à l'autre des
serveurs internes !

Je suis d'accord et n'en vois pas l'intérêt.

jdh a écrit:Enfin, OpenVPN n'est ni compris ni testé : un seul port (de préférence sur le protocole udp), aucune difficulté à traverser des routeurs NAT, et, must, le serveur fournit les routes accessibles.

Là, un openvpn placé sur le pfsense, et d'un seul vpn, accès à toutes les ressources voulues !
En plus, OpenVPN est basé sur des certificats : il est donc possible de révoquer un certificat avant terme : cas d'un salarié qui quitte l'entreprise : il peut avoir copié son certificat avant d'avoir restitué son pc, celui-ci ne fonctionnera plus !

(De plus, il doit être possible de filtrer à quelles ressources les clients openvpn ont accès en se basant sur l'ip attribuée mais je n'ai pas testé.)

Essaie au moins ...

Je te promets, je r'essayerai OpenVpn.

par **jdh** » 21 Mars 2009 10:25

PPTP "serveur à serveur" ou "client à serveur" ne change rien. Avec une seule adresse ip externe, il ne peut y avoir 2 serveurs PPTP internes.

Avec 2 adresses ip externes, on peut avoir 2 serveurs PPTP (ou smtp, ftp, ...) internes. Par contre, il faut faire impérativement du 1-1 nat. Et cela fonctionne pour 2 clients externes vers le même serveur interne.

Mais est ce le rôle d'un serveur Windows d'être "serveur vpn" quand il y a, mieux qu'un routeur, un firewall devant lui ?

D'ailleurs le serveur Windows peut-il à son tour filtrer le flux vpn ?

Vas-tu multiplier les serveurs Windows serveur PPTP (au risque du gaspillage des adresses ip) ?

Moi je considère qu'il est meilleur d'utiliser le firewall pour ce qu'il sait bien faire : du filtrage, du nat, du vpn, du routage. Je considère qu'il faut éviter de lui faire ce pourquoi il n'est pas conçu : du proxy http ou smtp, de l'anti-virus, de l'anti-spam.
Et, inversement, un serveur windows n'a pas à faire ce qui peut être fait plus efficacement et à un meilleur endroit : l'accès vpn.

Je voudrais lire qu'effectivement, il y a mieux à faire.
On a tous, un jour, accepté de continuer à faire tourner ce qu'il ne faudrait pas. Mais il ne faut pas renoncer à remettre en chantier pour avoir quelque chose de plus simple, plus sûr, plus efficace. Même si, en tant que professionnel, on planifie à une date ultérieure la nouvelle organisation ...

par **altaramis** » 23 Mars 2009 12:24

Bonjour,

Comme promis je vous donne ma démarche pour installer LightSquid sur IPCOP.
Dans l'outil d'admin IPCOP => Service proxy : Activer les logs
Copie de l'archive LightSquid sur l'IPCop avec scp ou winscp ou aure.
http://lightsquid.sourceforge.net/
Se connecter en console sur l'IPCop

cd /home/httpd/html
tar -xvzf /chemin ou se trouve l'archive/lightsquidx.x.x.tgz

Renomer le dossier lightsquid et mise en place des droits

mv lightsquidx.x.x lightsquid
chown root:root lightsquid
chmod g-w lightsquid
cd lightsquid
chmod og+x *.cgi

Editer le fichier lightsquid.cfg et modifier les chemins /var/www/ par /home/httpd.

#path to additional `cfg` files
$cfgpath ="/home/httpd/html/lightsquid";
#path to `tpl` folder
$tplpath ="/home/httpd/html/lightsquid/tpl";
#path to `lang` folder
$langpath ="/home/httpd/html/lightsquid/lang";
#path to `report` folder
$reportpath ="/home/httpd/html/lightsquid/report";
#path to access.log
$logpath ="/var/log/squid";
#path to `ip2name` folder
$ip2namepath ="/home/httpd/html/lightsquid/ip2name";

mise en place du crontab pour actualiser les rapports
commande 'fcrontab -e'
et ajouter la ligne ( mise a jour toutes les dix minute )

*/10 * * * * /home/httpd/html/lightsquid/lightparser.pl

Faire un peut de trafic.
Lancer la commande

/home/httpd/html/lightsquid/lightparser.pl

aller sur

https://ip_de_ipcop:445/lightsquid/

Voilà

[RESOLU] lightsquid + IPCOP

[RESOLU] lightsquid + IPCOP

Qui est en ligne ?