sme m'interdit de me connecter à un site www particulier

[arnaud056]

Bonsoir,
j'avance dans mon installation (certes provisoire, mais Noel arrive...) et me voici confronté au problème suivant:
quand je vais sur un certain site internet, qui normalement ouvre une nouvelle fenêtre https pour que je puisse y entrer mon user et mot de passe, sme "bloque" la fenêtre , cad qu'elle s'ouvre, mais ne se charge pas
Sur d'autres sites similaire, sme ne cré pas de problème, mais là.....
Je suis certain que sme est la "cause" car quand je me connecte via mon routeur cela fonctionne.

Il faudrait donc que j'explique à sme de bien vouloir accepter la connexion avec ce site internet.
Si j'ai bien compris la chose, il faut que j'intervienne dans l'iptable (moi qui n'aime pas ce genre de truc! ) et/ou dans les templates. C'est bien ça?
Et comment commencer? Me connecter par ssh en root? Certainement, et après? Agir dans l'IPtable? dans le template? comment? etc...?
Je connais l'adresse de la page https qui ne se charge pas et si je demande j'aurai peut être l'IP du serveur correspondant.

Ce que j'ai trouvé par moi-même est exactement l'inverse: interdire les connexions vers un certain msm http://forums.ixus.net/viewtopic.php?p=245541

Merci de m'aiguiller
@+
Arnaud

[jibe]

Salut,

Comment peut-on t'aider, alors qu'on n'a aucun renseignement sur la config de ta SME et sur ton réseau ?

Tout ce qu'on peut dire, c'est que sauf configuration spéciale ou bricolage, il n'y a pas de raison que les connexions https te soient refusées. Tu n'as normalement rien à toucher à Iptables ni aux templates.

Présente ton problème de manière correcte (shéma du réseau, détails de config etc.), et on essaiera de voir ce qui coince.

[Franck78]

et si je demande j'aurai peut être l'IP du serveur correspondant

oui demande très gentillement à ton clavier ceci:

host page.machin.com

et si il est bien luné, il te donnera l'IP afférente

Si j'ai bien compris la chose, il faut que j'intervienne dans l'iptable (moi qui n'aime pas ce genre de truc!

Tu as certainement compris de travers, oui, car SME est justement faite pour éviter ce genre de bidouille. Elle est plug and play. Pour les noob et les advanced users.

Relis tes docs

[arnaud056]

oui,
effectivement, j'ai omis des choses importantes
J'utilise sme 7.5 en serveur et passerelle. Pour l'instant ma sme est strictement d'origine --> aucune manipulation de ma part.
Mon réseau est ne peut plus simple: 1 ou 2 client derrière la sme.
Pour les essais, j'ai ouverts mes pare-feu sur les clients, mais ça n'a rien changé.
Quand je branche le routeur, dont le firewall est désactivé, à la place de la sme, j'ai une connexion sans que je ne doive changer quoi que ce soit sur le client.

Pour des raison de confidentialité, je n'ai pas donné l'adresse vers laquelle je souhaite me connecter. Je sais que cela vous aurait permis de tester par vous-même, mais vous comprendrez qu'on ne peut tout écrire sur un forum public...

J'aimerais donc simplement (hic!) pouvoir dire à ma sme de bien vouloir accepter une fenêtre du site https:// blabla

Je tiens à signaler qu'il n'y a que ce site qui me pose des problèmes de connexions sécurisées...

Je ne pense pas vraiment avoir faire avancer mon Schmiblic..............

[arnaud056]

et si je demande j'aurai peut être l'IP du serveur correspondant

oui demande très gentillement à ton clavier ceci:
host page.machin.com
et si il est bien luné, il te donnera l'IP afférente

oui, je l'ai (que c'est facile quand on sait comment faire.......)

Justement, vu que sme est censée compenser l'incompétence des newbis, je suis assez étonné de mon problème... sachant que je ne souhaite me connecter au FBI ou à la NASA!

Quel chapitre me conseilles-tu de revoir?

[Franck78]

On va être méchant:

tu testes depuis quoi? Un de tes PC clients connecté à la SME passerelle?

Oui?: le problème est dans ton PC client. SME soulève seulement le problème existant depuis longtemps.

Voila. En gros, on ne peut rien tirer de tes descriptions.

[jdh]

Il est UTILE de savoir que, tant le pc client que la SME comporte un cache !

C'est à dire que, quand on teste un accès en http, il est essentiel de vider le cache du navigateur du pc client ET celui de SME.

Mais pour https, le cache de SME n'est pas du tout concerné !
En effet, SME en server+gateway fait proxy transparent donc cache le trafic http qui la traverse et ne cache pas le trafic https car c'est strictement impossible.

(D'ailleurs ceci est indiqué dans un site de référence http://smeserver.fr/faq_aef.php merci Grand'pa !)


Donc cf le navigateur pour vider le cache côte pc client (en http et https).
Pour SME, je n'ai pas trouvé (en 2 minutes) comment vider le cache.
(Il doit être possible en ligne de commande d'arrêter Squid, de supprimer le cache ou le fichier swap.state, et de redémarrer Squid, mais je ne vais pas être suffisamment précis car je n'ai pas installé de SME depuis très longtemps ...)


Puisqu'il s'agit d'un site en https, il est plus que probable que le cache pc client provoque l'erreur, donc SME n'a rien à voir.
Ce qu'on appelle une erreur méthodologique.
Ce qui serait vicieux serait que la fenêtre soit en http et donc dans le cache de SME ...

[arnaud056]

hhhhhhmmmmmmmmmmm, me voici bien embêté car je me vois obligé de vous contredire...

Je ne pense pas que le cache de mes clients soit en cause car:
- j'ai vidé le cache comme vous me l'avez indiqué et cela en change rien
- j'ai essayé de me connecter via un client où ubuntu est fraichement installé. Auparavant, je n'ai jamais tenté de me connecter à ce site avec cette machine --> la page de connexion ne peut être dans le cache de cette machine. Ça n'a pas marché non plus

La fenêtre de connexion du site en question est une pop-up. Je suis obligé de dire à mon navigateur d'accepter les pop-ups de ce site pour que la fenêtre s'ouvre. Mais avec sme, elle ne se charge pas.
La page a l'aire tout à fait classique: https://blablabla.html

Vous êtes certains que sme ne PEUT pas bloquer la connexion? sme a pourtant une firewall "automatique" qui filtre les entrées.....

EUREKA!!!!
J'y suis arrivé et tout seul svp!

Ce qui m'a mis sur la voie: quand je veux me connecter, j'envoie une requête en http et voilà que le site m'envoie du https.
J'ai copié l'adresse de la fenêtre pop-up dans mon navigateur et donc de ce fait, envoyé une requête pour une page https qui m'a alors été gentiment affichée

Ce qui m'étonne, c'est que depuis, la fenêtre pop-up se charge, même en vidant le cache du client --> il y a quelque chose qui a appris que cette fenêtre a le droit d'être affichée.
Même si maintenant ça marche, j'aimerais bien connaitre la vraie raison du blocage initial ainsi que la raison qu'il n'y en ait plus maintenant.

@+
Arnaud qui a gagné sa soirée

[jdh]

Mise à jour du navigateur à faire ...
Un changement de navigateur ...

[arnaud056]

Après de nouveaux essais avec un autre PC client, ça ne fonctionne pas encore à 100%
- la fenêtre pop-up ne se charge pas
- copie de l'url dans navigateur --> la page ne se charge pas (s'était chargée sans pb avec l'autre PC)
- appui sur "réessayer" --> la page se charge
- nouvel essai avec la pop-up --> ne se charge pas (se charge maintenant sans pb avec l'autre PC)

--> le problème vient donc bien du client.....
--> mais alors pourquoi je n'ai jamais eu ce problème avec le routeur à la place de ma sme actuelle?

SME soulève seulement le problème existant depuis longtemps

bien vu... mais quel problème?

@+
Arnaud qui cherche encore

[mab]

salut,
Est-ce que tu utilise le proxy en mode non transparent ?

[jibe]

Salut,

Il semblerait que tu sois maintenant convaincu que le problème vient des postes clients. Si tu en doutes encore, tu peux tester l'accès https depuis la SME directement : il suffit d'utiliser lynx, navigateur en mode texte installé d'origine sur SME Si ce n'est pas le mieux pour surfer, c'est quand même vachement utile pour localiser les problèmes du même genre que le tien !

Côté postes clients, il faut que tu vérifie ta config en détails. Comme tu ne nous en donnes aucun, on ne peut que faire des suppositions.

Côté SME, il peut éventuellement y avoir une explication dans la résolution DNS. Tu ne donnes pas trop de détails sur tes essais avec l'@IP, c'est dommage ! En effet, SME fait appel aux root DNS pour résoudre les noms qu'elle ne sait pas résoudre elle-même. Ce point (qui fait bondir jdh ! ) est important : généralement, en effet, on ne s'adresse pas directement aux root DNS, et donc ton routeur utilise très probablement un autre serveur que la SME pour la résolution de noms. S'ils ne sont pas synchronisés, cela peut expliquer la différence ! Dans ce cas, ce n'est pas un problème de SME, mais de DNS, que tu peux malgré tout contourner en "forçant" un autre DNS dans la config SME (ce qui n'est en principe pas conseillé, mais que tu peux tenter pour tests voire plus si ça t'est vraiment nécessaire).

Attention aussi au fait que, souvent, le http est automatiquement redirigé sur https sur les sites sécurisés, mais que ce n'est pas systématiques et que cela peut être variable selon les DNS utilisés...

[Franck78]

SME soulève seulement le problème existant depuis longtemps

bien vu... mais quel problème?

Je ne crois pas un mot de ce que j'ai écrit. C'est seulement pour te montrer que l'on peut tirer les conclusions que l'on veut tant tu ne précises pas les conditions d'executions.

Démonstration:maintenant c'est Jibe qui donne sa vision du problème (certe aidé par tes dernières révélations)

A force d'énumerer des problèmes/solutions, c'est clair que l'on te fournira la bonne un jour!

[jdh]

Tout cela manque d'esprit scientifique pour trouver une explication irréfutable.

Quelques éléments en jeu :
- le dns : il se peut que derrière une SME ou derrière le routeur la résolution dns soit différente, mais cela expliquerait mal qu'un popup ne fonctionne pas après un premier écran réussi,
- le cache SME : facile d'éliminer le doute : désactiver le proxy (qui n'est utilisé qu'en http),
- le cache client : facile d'éliminer le doute : voir la doc du navigateur (dans IE, je supprime tout la plupart du temps, pas dans FF),
- le navigateur : facile d'utiliser IE et Firefox voire Chrome ou Opera pour observer s'il y a différence,
- les addons du navigateur : p.e. addblock pour firefox, ou d'autres ...
- l'état de mises à jour : windows + navigateur + antivirus +

Il est notable qu'il y a des essais à faire avec l'esprit déductif sur ON ... (ne RIEN considérer comme acquis !)

Il est probable qu'un effort de rédaction précise et détaillée du contexte eut été souhaitable et pourrait donner des indices ...
C'est d'ailleurs toujours utile et souligné comme il se doit par Franck78 : que de temps économisé cela pourrait apporter ...


AMPSHA, je ne vois guère le problème dans la SME.

[jibe]

le dns : il se peut que derrière une SME ou derrière le routeur la résolution dns soit différente, mais cela expliquerait mal qu'un popup ne fonctionne pas après un premier écran réussi,

J'ai effectivement omis cette histoire de popup à laquelle je n'ai pas compris grand chose, faute de précisions sur son apparition (ou non...).

Comme tu dis, ça manque d'esprit scientifique pour qu'on puisse faire autre chose que des suppositions sur des pistes possibles, sans même être sûrs qu'elles ont des chances d'aboutir quelque part.

Je pense que sans violer la confidentialité concernant le site en question, il eût été possible de donner quelques précisions supplémentaires (la popup est-elle une fenêtre d'authentification, une pub, autre chose ? Quels essais ont été faits pour tenter de déterminer ce qui permet qu'elle apparaisse, ce qui fait qu'elle reste et ce qui fait qu'elle ne revient pas ?

Sauf erreur de ma part, on ne sait même pas quel navigateur est utilisé... Confidentiel aussi ?

Je rappelle qu'un essai depuis la SME avec lynx permettrait de déterminer avec certitude si le problème vient de SME (je n'y crois absolument pas non plus, sauf l'histoire des DNS que j'ai citée, mais qui n'explique pas tout et qui n'a que très peu à voir avec SME...) ou des postes clients. Ce serait déjà un premier pas...

Ça ressemble une fois de plus à ce que je décrivais ici... Bon, d'accord, le rapport du nombre de mots est un peu moins défavorable à arnaud056