Se connecter / S'enregistrer
Votre question

Linux-Squid sous Vmware

Tags :
  • Proxy
  • Internet
Dernière réponse : dans Internet
8 Janvier 2009 14:27:06

Bonjour,

Je suis en stage en entreprise pour 2 mois, et mon objectif est d'installer un serveur proxy « Squid » sous RedHat et de faire un script pour la configuration automatique du proxy pour chacun des postes des membres de l'entreprise.

Dans un premier temps, j'effectuerais mes tests sur machine virtuelle (VMWARE) puis une fois validé, j'installerais Red Hat sur la machine réelle.

Donc, j'ai créer une machine virtuelle Linux avec la version de Debian installé et trois machine XP virtuelles.

Donc, je voudrais que ma machine Debian, ou sera installé le proxy Squid, soit connecté à Internet et qu'elle puisse communiqué avec les trois autres machines.

Je voudrais savoir quelles sont les réglages à mettre pour mes cartes Ethernet afin que la machine Debian communique avec Internet et que la machine XP passe passe par la machine Debian (proxy) pour accéder au WEB.

Faut-il 2 cartes pour la machine Debian et 1 seule pour la XP?

Je vous donne la configuration de mes machines atuellement :

PC réel :
IP : 192.168.1.171 255.255.255.0 192.168.1.1 DNS :194.2.0.20 194.2.0.50

Debian :
eth0 (Bridged): 192.168.1.186 255.255.255.0 (broadcast) 192.168.1.255 (passerelle) 192.168.1.1 DNS : 194.2.0.20
eth1 (Vmnet2) : 192.168.2.186 255.255.255.0 (broadcast) 192.168.2.255 (passerelle) 192.168.2.1 DNS : 194.2.0.20
lo : 127.0.0.1 255.0.0.0

XP1 (Vmnet2) :
IP : 192.168.2.179 255.255.255.0 (passerelle) 192.168.2.1
DNS : 194.2.0.20

Avec cette configuration, Debian ping bien XP1 et le PC réel, et résout www.google.fr.
XP1 ping bien Debian mais pas le PC réel et il ne trouve pas www.google.fr ni son adresse IP 216.239.59.99

Une fois cela résolu, il faut que j'installe Squid afin que XP1 passe par la machine Debian pour accéder à Internet.

Donc, quelqu'un pourrait me dire pourquoi la communication entre XP1 et l'Internet ne fonctionne pas svp.

Ps: Avec les deux machines avec 1 seul carte chacune sur Bridged, la connexion au WEB fonctionne aussi bien pour la Debian que pour la XP.

Merci d'avance.

Autres pages sur : linux squid vmware

9 Janvier 2009 20:11:42

ton proxy peut avoir une ou plusieurs interfaces/adresses, c'est juste une question de choix d'architecture, de moyens et de performances

tu as ces possibilités d'archi (au moins) pour la partie proxy (à différencier de la partie routage qui est ton autre problème) :
1-clients avec proxy configuré en dur, dans ce cas donc proxy peut être n'importe où, du moment qu'il est joignable par les clients
2-proxy installé en coupure, donc c'est le chemin obligatoire pour sortir (wccp, routeur, bridge, ...)


Dans chacun des cas, tu peut mettre entre 0 et beaucoup d'adresses sur ton proxy et entre 1 et beaucoup d'interfaces réseau

en général, quand on choisi de configurer les postes clients, on fait comme suit :

-clients configurés pour passer par le proxy pour les protocoles choisis (http et ftp par exemple)
-proxy avec 2 interfaces physiques, une qui dialogue avec les clients, une qui va chercher l'info sur le net

telle qu'est montée donc architecture, il faut rajouter un autre rôle à ton proxy, celui de routeur, ou alors il te faut un routeur qui porte l'adresse de passerelle que tu as indiqué sur ton client (192.168.2.1 il est où ?? c'est qui ??) et aussi un DNS

ton problème est donc celui-ci (en admettant que ton proxy fonctionne) :
-ton client est parfaitement capable de s'authentifier sur ton proxy et de lui demander une page
-le proxy est parfaitement capable d'aller chercher une page sur le net et de la donner au client, via authentification s'il le faut

MAIS

-ton client est incapable de déterminer l'adresse IP d'un site

edit : la question est donc la suivante : ton proxy doit il être le routeur ?
12 Janvier 2009 09:53:51



Mon but est de lors de l'authentification sur le vpn, le proxy reconnaisse à quel groupe appartient l'user.
Contenus similaires
Pas de réponse à votre question ? Demandez !
12 Janvier 2009 20:57:08

il manque les plans d'adressages et l'emplacement des ressources qui devront être accessibles via le proxy

sinon tu mélange 2 choses, le VPN et le PROXY

tes utilisateurs sont authentifiés via le VPN, si oui, est-il nécessaire de les authentifier via le proxy ?
pour distinguer un utilisateur de nice d'un utilisateur de marseille, au niveau du proxy, tu ne peux le faire que via login/pass ou via adresse IP

il doit y avoir quoi derrière le proxy ?


en clair, tu veux faire quoi EXACTEMENT

permettre à des utilisateurs connectés en VPN d'accéder à des ressources situées derrière le proxy ?
authentifier tes utilisateurs sur le VPN et limiter l'accès aux ressources situées derrières le proxy à certains utilisateurs ?
te servir du proxy comme cache pour optimiser la bande passante ?
te servir du proxy comme système de filtrage ?

tout ou partie de ce que je viens de lister ?

prends un exemple par type de population

avec ce que tu nous donne comme info, j'image ceci :

-tes utilisateurs n'ont pas d'accès au net directement dans les agences de Nice et de Marseille
-ils sont reliés via une LS (ou autre) au site central
-ils doivent établir une connexion VPN pour accéder aux ressources du site central
-s'ils veulent le net, ils doivent passer par le proxy du site central

si c'est bien ça, et que tu ne veux pas donner accès au net à tlm, le plus simple (pour éviter une double authentification) et de configurer ton VPN pour qu'il place les clients dans différents réseaux en fonction du login utilisé, puis de définir des ACL sur ces réseaux dans le proxy
13 Janvier 2009 08:28:20

La situation est telle:

Chaque agence a un modem (livebox) ou autres et se connecte au web sans restriction.
Ils ont acces à l'intranet par l'adresse srvcompta/..... .
Un poste en agence a un parametrage VPN pour pouvoir acceder au serveur et il y a aussi un compte user sur le serveur compta avec acces à distance.

Le serveur DHCP sur serveurcompta fournit des adresse leur de connexion a distance au VPN.

Le projet demandé est donc de :

-d'installer un proxy squid afin de filtrer les sorties web de chaque agence vers le proxy pour qu'il accorde que les sites définis dans sa base.
-il y a 3 groupes distinct : direction (tous sites), exploitation(limite sites) et compta (limité sites mais different d'exploitation).

-l'authentification devrait se faire par rapport au login du vpn rentré afin d'éviter une nouvelle authentificaiton sur le proxy.

Donc, le proxy sert de sortie au web sans lui pâs d'internet!

Citation :
pour distinguer un utilisateur de nice d'un utilisateur de marseille, au niveau du proxy, tu ne peux le faire que via login/pass ou via adresse IP


Comment le parametre dans Squid?

Merci pour votre réponses.
13 Janvier 2009 14:45:16

Voici le mail de mon tuteur ma fourni apres que je lui est demandé comment il voulait exactement se passe la connexion.


Citation :
Pour un poste en agence il faut :
· Un paramétrage VPN : (pour permettre l'accès au réseau de Corbas)
adresse 81.80.XXX.XXX
· un compte user sur le serveur SRCOMPTA (192.168.XXX.XXX) avec accès distant autorisé

Il sera surement nécessaire de revoir le plan d'adressage (sur le serveur )de Corbas pour agrandir la plage d'adresses réservées aux postes distants pour que DHCP puisse leur accorder une adresse lors de l'accès VPN.

Ensuite, je suppose que Squid permet de cataloguer des noms d'utilisateurs (pas forcément le noms des stations connectées ?? généralement différents des personnes qui les utilisent) et ainsi connaître le groupe auquel appartient l'utilisateur demandant une page Web. Je ne vois le serveur compta utile que pour l'accès VPN et l'intranet.

Nous pourrons tester si je me connecte à distance (vpn existant) et m'attribuer à chaque fois sur un groupe différent pour savoir si Squid reconnaît bien l'utilisateur distant et le groupe d'appartenance.
13 Janvier 2009 20:57:27

Citation :
Chaque agence a un modem (livebox) ou autres et se connecte au web sans restriction.

est contradictoire avec
Citation :
Donc, le proxy sert de sortie au web sans lui pâs d'internet!

Citation :
Ils ont acces à l'intranet par l'adresse srvcompta/..... .
utilise TOUJOURS des FQDN pour des noms/url/... (srccompta.domaine.tld)
Citation :
Un poste en agence a un parametrage VPN
un seul poste ?
Citation :
installer un proxy squid afin de filtrer les sorties web de chaque agence vers le proxy
pas compris
Citation :
l'authentification devrait se faire par rapport au login du vpn rentré afin d'éviter une nouvelle authentificaiton sur le proxy.
surement le plus difficile à faire, il faut voir du coté du sso, mais c'est aussi très peut fiable niveau sécurité

On a donc des postes distants qui ne sont pas nominatifs
Des connections au net via des livebox (avec ou sans IP fixe ?)
Il y a possibilité de monter un tunnel VPN entre les sites distants et le site central
Ce VPN utilise une source d'authentification LOCALE au serveur
Il y a un intranet
Et pour finir il y a l'accès au net

1-Tu souhaites que tes utilisateurs n'aient accès au net QUE via ton proxy dans tous les cas, ou seulement lorsqu'ils utilisent le vpn ?
2-Le proxy doit être devant l'intranet ou c'est indépendant ?
3-Il n'y a que des personnes autorisées à se connecter à l'intranet dans les sites ?
4-Il n'y a qu'un serveur consultable à distance via le vpn ?
14 Janvier 2009 10:20:41

Citation :
1-Tu souhaites que tes utilisateurs n'aient accès au net QUE via ton proxy dans tous les cas, ou seulement lorsqu'ils utilisent le vpn ?


accès au net via au proxy dans tous les cas.

Citation :
2-Le proxy doit être devant l'intranet ou c'est indépendant ?


indépendant je crois

Citation :
3-Il n'y a que des personnes autorisées à se connecter à l'intranet dans les sites ?


non toutes personnes voulant se connecter au web. mais je pense qu'ils sont obligatoirement dans les users de l'intranet ( a demander)


Citation :
4-Il n'y a qu'un serveur consultable à distance via le vpn ?


oui, juste srvcompta
14 Janvier 2009 20:25:23

Il te faut donc un proxy par site si tu veux profiter du cache (donc de l'optimisation de la bande passante), sinon ton proxy doit être joignable depuis le net mais ça n'a que peu d'intérêt dans ton cas

le vpn n'a donc aucun rapport avec le proxy

sauf dans un cas, il y a une connexion vpn établie en permanence entre les sites et le serveur proxy

je te suggère donc de reprendre ta problématique depuis le début, à savoir ce que tu veux faire

si j'ai bien compris, il y a 2 problématiques
1-filtrer les sites internet en fonction du login/pass utilisé
2-permettre un accès sécurisé à un serveur distant

pour le 1, je vois 3 archi possibles :
a)un serveur de proximité par site, c'est le plus simple et le plus performant, mais aussi le plus cher
b)un serveur de proximité accessible depuis le net
c)un serveur de proximité sur le site central et une connexion vpn permanente entre les sites distants et le site central

la connexion vpn des utilisateurs est une autre problématique qui doit être traitée à part (on peut traiter les 2 en même temps, mais ça ne présente que des inconvénients)


donc en revenant à la problématique de base, à savoir le proxy, je suggère ceci :
un serveur dans chaque site, avec une synchronisation des règles (histoire de ne pas faire le travail 3 fois) entre chacun des sites, chacun des serveurs VPN pouvant bien sur utiliser des sources d'authentification semblables ou différentes

évidemment, si les connexions vpn des utilisateurs sont permanentes (toujours up ou auto up) et que les performances ne représentent pas un critère important (par rapport au cout et à la sécurité), tu peux mettre ton proxy sur le site central
mais dans ce cas, ta seconde problématique change du tout au tout
15 Janvier 2009 08:33:26

Il y a un seul serveur sur le site de corbas ou se trouve le serveur srvcompta.

En agence , ils utilisent le vpn afin d'avoir une adresse dhcp mais je ne comprend pas a quoi elle sert sachant qu'ils ont une livebox pour le net!?

mail de mon tuteur :

Citation :
Voir sur le Web les infos nécessaires pour permettre à une station distante de se connecter sur le proxy une fois en VPN

(Mssage entre paranthèses à valider)


Pourrais-tu m'expliquer le role du vopn avec dhcp?

Mon srvcompta sert de IIS (intranet) et de serveur DHCP.
Le vpn sert a quoi? je comprend pas vraiment.

mon tuteur étant jamais la car il est prestataire de service dans ldiffernets entreprise.

merci bcp pour ton aide

15 Janvier 2009 09:07:10

J'ai redemandé une explication claire du projet voici la réponse :

Citation :
Les "Box" présentes en agences ne seront utiles qu'au logiciel d'exploitation transport qui utilise TCP/IP pour accéder à un serveur SQL situé en Belgique, et à Outlook (passerelle) pour émettre les mails.


Les navigateurs des postes agences ne doivent plus accéder au Web par leur "Box" mais obligatoirement par le réseau central via le VPN et le proxy.


Le rôle de SRVCOMPTA est :

· Permettre l'identification de la station distante (VPN) et donner une adresse IP (dhcp) à la station sur le réseau de central

· mettre à disposition l'intranet IIS (//srvcompte/xxxx). C'est une application pas une interface de connexion.


Le serveur n'a aucun rôle dans les accès au Web des postes locaux ou distants.


le serveur Squid est sur le réseau et tous les navigateurs doivent lui faire appel lors d'une demande de site Web

(logiquement même le navigateur du serveur compta devra passer par Squid pour accéder au Web)

Squid n'est qu'un contrôleur d'accès au Web et SRVCOMPTA n'est qu'un serveur DHCP pour le réseau central.



Bien se renseigner sur le Web pour :

Gestion proxy sur IE6 et IE7 (options internet onglet Connexion) limitations, permissions,...

Blocage au niveau du registre de l'installation des accessoires Windows (jeux, ...) et le mieux désisntaller ces éléments et bloquer leur réinstallation par script.
15 Janvier 2009 23:05:56

c'est beaucoup plus clair

le dhcp attribue des IPs aux utilisateurs via le vpn, c'est normal

donc tu peux monter ceci

1-dans chaque site, tu configure (si possible) les box pour qu'elles bloquent TOUT trafic qui n'est pas à destination de ton serveur VPN, de la passerelle mail et du serveur en Belgique

2-sur chacun des postes, tu configure correctement le client VPN pour qu'il se connecte bien et tu ajoute des routes statiques vers les serveurs qui ne doivent pas passer par le vpn (facultatif mais plus propre)

ensuite tu as plusieurs possibilités

A-le plus complexe, à mettre en œuvre, mais le plus fiable aussi :
si ton serveur vpn et l'archi réseau qui va derrière le permettent, tu fais en sorte que tes utilisateurs tombent chacun dans un sous réseau qui leur est propre (en gros à un login/pass tu fais correspondre un subnet en /30) ensuite au niveau des routeurs (le serveur squid peut le faire avec iptables) tu fais le nécessaire pour qu'ils joignent bien le serveur interne et que le chemin vers Internet passe obligatoirement par squid
idéalement, il faut le faire avec un cloisonnement par vlan
tu configure squid en proxy transparent et tu règles les ACL en fonction de l'ip de l'utilisateur (ip qui est liée sans ambigüité au login si la partie précédente est bien faite)

B-le plus simple à monter, le plus fiable du point de vue identification, mais plus contraignant pour les utilisateurs :
tu configure simplement les postes clients pour qu'ils utilisent le proxy avec authentification, en veillant bien à ce que ce dernier soit accessible via le vpn
bien sur dans les ACL de squid, tu fais correspondre les politiques d'accès aux login

C-on peut aussi jouer, personnellement je ferai ceci si je devais donner des droits sur le net différents en fonction des utilisateurs
sur le vpn :
en fonction du login, j'attribue une IP à l'utilisateur, je bloque tout trafic qui ne correspond pas au couple login/ip (par exemple en interdisant les IP fixe sur les cartes vpn, ou au contraire en les fixant si les postes ne sont pas partagés par plusieurs utilisateurs)
le configure le dhcp pour qu'il donne l'adresse du squid comme passerelle par défaut (bien sur je bloque les possibilités d'utiliser une autre passerelle)
sur squid, je fais correspondre mes ACL aux IPs

D-ou ceci en considérant qu'il n'y a aucune raison qu'un utilisateur puisse accéder à plus de ressources sur internet qu'un autre :
je rajoute simplement le squid en coupure entre le réseau et le net

E-on encore ceci :
le vpn ne sert qu'à établir un lien entre les sites, l'authentification sur le vpn est désactivée
tu monte un portail captif en coupure, c'est lui qui fait l'authentification (et pourquoi pas le proxy)

F-si tu en as la possibilité :
NAC ou 8021x

G-un petit dernier pour la route :
nuFW


la seule difficulté dans ce que tu souhaites monter si j'ai bien compris, est d'attribuer des droits différents aux utilisateurs dans le proxy, chose qu'on ne fait pas sauf quand on à la possibilité de monter des architectures complexes (cf A et B)
si cette contrainte est levée, les archi C, D, E , F et G sont nettement plus simples, fiables et sécurisées


pour rappel, squid est un proxy HTTP à la base, il sait aussi gérer le HTTPS et le FTP moyennant un peu de tuning
donc pour ce qui est des autres protocoles (pop, ssh, ..., il va falloir que tu mettes autre chose en place)
16 Janvier 2009 01:57:41

Ah ! On est dans la partie réseau ? :) 
16 Janvier 2009 10:22:54

1000 Merci de toutes ces explications.

Citation :
1-dans chaque site, tu configure (si possible) les box pour qu'elles bloquent TOUT trafic qui n'est pas à destination de ton serveur VPN, de la passerelle mail et du serveur en Belgique


Comment effectuer une telle configuration? Je ne suis que stagiaire donc cela me parait pas si évident que pour vous.

Citation :
2-sur chacun des postes, tu configure correctement le client VPN pour qu'il se connecte bien


les postes client sont deja configuré pour acceder au vpn. faut parametrer par rapport au proxy aussi?

Citation :
et tu ajoute des routes statiques vers les serveurs qui ne doivent pas passer par le vpn (facultatif mais plus propre)


Comprend pas.!? j'ai le serveur compta et le serveur proxy donc pas de route a rajouter non? si oui, a quel endroit effectuer cette manipulation.svp

Je pense utiliser cette config:

Citation :
B-le plus simple à monter, le plus fiable du point de vue identification, mais plus contraignant pour les utilisateurs :
tu configure simplement les postes clients pour qu'ils utilisent le proxy avec authentification, en veillant bien à ce que ce dernier soit accessible via le vpn
bien sur dans les ACL de squid, tu fais correspondre les politiques d'accès aux login


configure poste cleint, c'est leur navigateur web?
comment le rendre accesible via le vpn?
comment recupere le login des vpn pour squid?

Je sais bcp de questions, mais je veux comprendre comment réaliser un tel projet sachant qu(il faudra ensuite que je l'utilise pour ma soutenance.

D'avance un GRAND merci
16 Janvier 2009 20:41:41

:s
vpn et vnc ce n'est pas la même chose, j'espère que tu te trompe de nom
si ce n'est pas le cas, tu peux oublier presque tout ce que j'ai écrit pour ton projet

pour rappel, VPN=Virtual Private Network, c'est un système permettant de créer des réseaux (sécurisés en général), à l'intérieur d'autres réseaux (le réseau d'une entreprise via internet par exemple)
VNC est une utilisation du protocole RFB (ultravnc est un logiciel qui utilise ce protocole) qui permet d'afficher via le réseau le contenu l'écran d'une autre machine
18 Janvier 2009 19:12:06

Oui oui trompé, ultravnc c'est pour prendre le contrôle à distance.

Comment, puisse-je trouvé quel logiciel sert de VPN à mon entreprise svp?

car il me faut ensuite récupérer les login/pass du vpn afin de créer mes ACL dans squid.

18 Janvier 2009 19:25:48

le plus simple est de demander
mais je pense que vous utilisez le vpn demi Kr0 $oft
si tel est le cas, passer les logins du vpn à squid risque d'être très compliqué (d'où les scénarii que j'ai posté plus haut)

maintenant si tu utilise le B, squid n'a pas besoin de connaitre le login vpn des clients puisque "un" login sera demandé en plus pour sortir
19 Janvier 2009 11:39:19

J'ai demandé le nom, j'attends la réponse.
Sinon, j'utilise la méthode B pour réaliser mon projet.

Actuellement, voici ou j'en suis.

Donc, mon serveur proxy est actuellement sur machien virtuelle :
192.168.1.186
port 3128

J'ai configuré mon poste réel 192.168.1.xxx, dans IE avec IE


Donc, avec cela l'autehntification fonctionne bien par rapport aux different users inscrit.

Maintenant comment dois-je procédé pour dire a mon tuteur qui n'est pas dans l'entreprise d'accerder en vpn au reseau et d'utilsier le proxy?

En faisant seulement les memes reglages dans l'IE cela marchera?

Ou il faut qu'il parametre par ici le proxy et vpn?




merci
19 Janvier 2009 20:09:24

ça dépend des routes que ton vpn configure

si ton vpn configure une route qui permet de joindre ton proxy, pas de problèmes, sinon il faut adapter l'un ou l'autre
21 Janvier 2009 10:08:55

 Voila, la réponse de mon tuteur apres lui avoir demandé si il y avait un logiciel vpn.

Citation :
Il n'y a pas de programme VPN c'est une connexion à un réseau d'entreprise dans le panneau de config windows connexions réseau.


J'ai acces au srvcomtpa via connexion bureau a distance, donc a cette connexion réseau.Mais je ne vois pas comment d"finir mon proxy???

Citation :
ça dépend des routes que ton vpn configure

si ton vpn configure une route qui permet de joindre ton proxy, pas de problèmes, sinon il faut adapter l'un ou l'autre


comment définir une telle route?et comment voir les routes?svp

D'avance un grand merci
21 Janvier 2009 22:32:32

je pense que je suis allé techniquement un peu loin pour vous et qu'il te manque des bases pour appliquer tout ceci (ce n'est pas une critique, il faut bien apprendre)

ATTENTION : les informations que tu donne peuvent permettre de compromettre la sécurité de ton réseau d'entreprise, c'est une mise en garde qu'il faut toujours avoir à l'esprit dans un cas comme ça

Tu me demanderais de faire la même chose entre chez toi et le réseau d'un copain, il n'y aurait pas de pb, ici il s'agit d'un réseau d'entreprise

Vu le peu de connaissance que tu semble avoir sur le réseau de ton entreprise, si tu veux plus d'aide, il va falloir nous indiquer la topologie du réseau (plans d'adressages, position et configuration des routeurs/firewall, ...), autant d'information qui peuvent permettre à une personne mal intentionnée de cracker ton réseau

Comme je n'ai pas trop envi de jouer à ça sur un forum public, je vais plutôt partir du principe que ton réseau est simple et t'indiquer la marche à suivre dans ce cas :


Avec :
tous les réseau en classe C privée (masque sur 24 bits)
192.168.0.1 l'adresse de la livebox du site distant

192.168.1.1 l'adresse de la passerelle VPN
192.168.2.1 l'autre adresse de la passerelle VPN
1.2.3.4 l'adresse public de la passerelle VPN

192.168.0.10 l'adresse de l'interface réseau du clientA
192.168.1.10 l'adresse de l'interface VPN du clientA

192.168.2.9 l'adresse de srvcomtpa

192.168.2.254 l'adresse privée du routeur d'accès à internet

clientA
0.0.0.0_______0.0.0.0__________192.168.2.254__192.168.1.10
192.168.2.0___255.255.255.0____192.168.1.1____192.168.1.10
1.2.3.4_______255.255.255.255__192.168.0.1____192.168.0.10

ServeurVPN :
0.0.0.0_______0.0.0.0__________192.168.2.1____192.168.2.1

srvcomtpa :
0.0.0.0_______0.0.0.0__________192.168.2.254__192.168.2.9
192.168.1.0___255.255.255.0____192.168.2.1____192.168.2.9

ce qui "physiquement" donne ceci :

clientA-------------------------livebox--------------------------site distant
192.168.0.10_____192.168.0.1/ip public__________1.2.3.4

dans ce lien passe un vpn qui se schématise comme ceci

clientA-------------------------passerelle vpn-----------------réseau du site distant (dont srvcomtpa, squid, le routeur de sortie)
192.168.1.10________192.168.1.1/192.168.2.1_____192.168.2.0/24

tout ce que tu as à faire dans ce cas, c'est de configurer le proxy en dur sur les clients
si ta source d'authentification n'est pas locale (donc si c'est un ebase, un AD, un ldap, ...), tu peux configurer squid pour qu'il s'en serve pour authentifier les utilisateurs

Si c'est du chinois pour toi, considère simplement qu'il faut mettre ton proxy à un endroit ou il a le net et qui soit accessible par les clients (une fois le vpn UP)
22 Janvier 2009 08:59:28

Merci, je savais qu'il fallait pas trop divulguer mon réseau.
Actuellement mon proxy fonctionne.
Il faut que je parametre les routes maintenant afin que le proxy soit reconnu c'est cela en gros?

http://www.sbsfr.org/index.php?page=IsaConfigClient
Cela est-il un moyen pour moi de configurer automatiquement les navigateurs sachant que les clients se voit attribue une @ip dhcp?
par contre, je n'ai pas isa mais que iis.



Citation :
192.168.1.1 l'adresse de la passerelle VPN
192.168.2.1 l'autre adresse de la passerelle VPN
1.2.3.4 l'adresse public de la passerelle VPN


Peut-il avoir une seule passerelle VPN car la 2eme je cherche mais trouve pas?!

Citation :
192.168.0.10 l'adresse de l'interface réseau du clientA
192.168.1.10 l'adresse de l'interface VPN du clientA


@interface = @ ip oui/non?

adresse de l'interface VPN = @ip dhcp attribué automatiquement?

Citation :
192.168.2.254 l'adresse privée du routeur d'accès à internet


l'@ip du routeur sur le site central c'est bien cela?
22 Janvier 2009 20:40:28

pas de lien entre squid et isa, il s'agit de concurrent (sur certains points), iis aucun rapport, c'est un serveur web/applicatif

les routes c'est juste si celles par défaut ne permettent pas aux clients d'accéder au proxy

si ton vpn passe par le net, ton serveur vpn doit avoir une IP public, mais comme je suppose qu'il est natté derrière un firewall (ou une box), il doit avoir une ip privé, l'ip public est donc celle de l'accès internet du site central

adresse "ip" de l'interface

adresse de l'interface vpn : oui, elle peut être attribuée par dhcp

192.168.2.254 : normalement oui


pour ce qui est de configurer les clients, il y a plusieurs méthodes :
-à la main dans les propriétés réseaux des clients
-avec un script
-en base de registre
-avec une gpo
-avec des fichiers de configuration de proxy ( http://www.geckozone.org/articles/2004/12/27/73-configu... )
27 Janvier 2009 14:30:03

maith a dit :
pas de lien entre squid et isa, il s'agit de concurrent (sur certains points), iis aucun rapport, c'est un serveur web/applicatif

les routes c'est juste si celles par défaut ne permettent pas aux clients d'accéder au proxy

si ton vpn passe par le net, ton serveur vpn doit avoir une IP public, mais comme je suppose qu'il est natté derrière un firewall (ou une box), il doit avoir une ip privé, l'ip public est donc celle de l'accès internet du site central

adresse "ip" de l'interface

adresse de l'interface vpn : oui, elle peut être attribuée par dhcp

192.168.2.254 : normalement oui


pour ce qui est de configurer les clients, il y a plusieurs méthodes :
-à la main dans les propriétés réseaux des clients
-avec un script
-en base de registre
-avec une gpo
-avec des fichiers de configuration de proxy ( http://www.geckozone.org/articles/2004/12/27/73-configu... )


Je suis perdu, un prof est passé mais pas plus aidé!
je ne peux pas savoir quelle est l'@ip public ou privée, je ne connais rien de l'archi presk.

c'est demoralisant tout cela.

Merci de toute ton aide et de ta patience. 1000 Merci
27 Janvier 2009 21:41:00

sans les plans d'adressage et l'archi, je ne peux pas t'aider plus
trouver ces infos par toi même est assez aisé si tu as des bonnes notions réseau

tu peux le faire avec des tracert, des ping et un navigateur web (à pondérer par des éventuels firewall ou des ACL sur des routeurs)

par exemple pour l'ip privé, un tracert vers une adresse extérieur, pour l'IP public : mon ip .com

si tu veux tu peux m'envoyer un schéma des éléments de ton réseau en MP
IP des différents serveurs, en particulier le serveur VPN (avec masque et passerelle par défaut)
IP des box
IP des postes clients (avec masque et passerelle par défaut), en mode normal et quand le vpn est UP (tu peux demander à un utilisateur distant de taper ipconfig /all et route print dans une fenêtre de commandes)
...et toutes les autres infos que tu peux glaner

si l'architecture du réseau t'es inconnue et que tu ne peux pas la déterminer (en tout cas pour la partie qui est impactée), tu ne peux rien faire

je vois donc 3 cas :
-ton tuteur souhaite que tu fasse ce travail d'analyse, ce qui est très formateur
-l'archi de ton réseau est tellement simple qu'il ne voit pas où est le problème, dans ce cas tu devrai être capable de la trouver (cf 1)
-il n'a pas conscience que selon l'archi du réseau les solutions ne sont pas les mêmes (ce n'est peut être pas son travail)

pose lui les questions 1 et 2, mais évite de lui poser la 3ème :p 

ps : tu fais quoi comme études ? (c'est pour évaluer le niveau que tu devrait avoir et adapter mes réponses)
27 Janvier 2009 22:55:29

Je suis actuellement en bts 2eme année option reseaux.

Mon tuteur est plutôt tournée développement,c 'est cela son métier de tous les jours.
27 Janvier 2009 23:36:33

carles65 a dit :
Je suis actuellement en bts 2eme année option reseaux.

Mon tuteur est plutôt tournée développement,c 'est cela son métier de tous les jours.

Ah les développeurs et la compréhension des réseau !

comme dit Maith, l'analyse est formatrice, fais donc cette analyse...
Montre qu'avec l'analyse du réseau sur le quel tu t'apprêtes à faire des changements n'est pas aussi trivial qu'a première vue.
Et que c'est le réseau d'entreprise, qui sera modifié pas une simple vue de l'esprit, et que dans ce cadre, la moindre information est essentielle ! Et donc cela va impacter l'ensemble de la productivité !
Il faut être poliment ferme ! ;) 
27 Janvier 2009 23:41:29

Et quand bien même ton tuteur soit développeur, il y a probablement une personne qui connait le réseau de cette entreprise.
28 Janvier 2009 08:22:34

lolotux a dit :
Et quand bien même ton tuteur soit développeur, il y a probablement une personne qui connait le réseau de cette entreprise.


je pensais aussi, a priori un minimum mon tuteur, mais je pense peut-etre qu'ils sont prix aussi un autre prestataire de service pour faire leur reseau.

Et niveau formation du personnel pour la survie du reseau a ete attribué a une personne qui n'en connait pas plus de ca a priori.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS