https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2015-03-09T15:01:33ZEnsemble Ouvert Libre Évolutifeole-flask - Tâche #10862: EOP : permettre l'accès aux consoles vnc sur AmonEcolehttps://dev-eole.ac-dijon.fr/issues/10862?journal_id=436762015-03-09T15:01:33ZLionel MorinLionel.Morin@region-academique-bourgogne-franche-comte.fr
<ul></ul><a name="Description"></a>
<h3 >Description<a href="#Description" class="wiki-anchor">¶</a></h3>
<ol>
<li>Toutes les requêtes http depuis eth1 vers <strong><code>web_url</code></strong> passent par le proxy</li>
<li>noVNC fait des connexions sur <strong><code>http://web_url:6080</code></strong></li>
<li>les requêtes doivent arriver sur le conteneur fichier</li>
</ol>
<a name="Proposition-de-solution"></a>
<h3 >Proposition de solution<a href="#Proposition-de-solution" class="wiki-anchor">¶</a></h3>
<ol>
<li>Le client utilise un <strong><code>path</code></strong> dédié aux connexions websocket (<strong><code>/eoleapps/eop/vnc/connect</code></strong>)
<ol>
<li>Modifier EOP pour transmettre le paramètre <strong><code>path</code></strong> à la lib noVNC</li>
<li>Mettre en place un reverse proxy pour rediriger <strong><code>path</code></strong> vers le conteneur fichier sur le port 6080 (avec nginx sur le maître ou apache dans le conteneur web)</li>
</ol>
</li>
<li>Le client se connecte directement sur le conteneur fichier (<strong><code>adresse_ip_fichier</code></strong>)
<ol>
<li>Ne pas passer par le proxy pour les requêtes vers web_url depuis eth1</li>
<li>Autoriser les connexions depuis eth1 sur <strong><code>adresse_ip_fichier</code></strong> port 6080</li>
<li>Modifier EOP pour utiliser <strong><code>adresse_ip_fichier</code></strong> en paramètre des connexions websocket</li>
</ol>
</li>
<li>Le client se connecte à travers le proxy sur <strong><code>web_url:6080</code></strong>
<ol>
<li>Rediriger les paquets à la sortie du proxy à destination de <strong><code>web_url:6080</code></strong> vers le conteneur fichier port 6080</li>
</ol></li>
</ol>
<p>Sur eole 2.4, seule la solution 3 est fonctionnelle.</p>
Pour la mettre en œuvre la solution 3, il faut :
<ol>
<li>déclarer le port 6080 en tant que SSL_ports dans common-squid1.conf (#FIXME)</li>
<li>ajouter les règles iptables suivantes sur le maître<br /><pre>
iptables -t nat -I PREROUTING 1 -p tcp --dport 6080 -j DNAT --to-destination 192.0.2.52
iptables -I FORWARD 1 -p tcp --dport 6080 -j ACCEPT
</pre></li>
<li>vérifier que le service websockify est bien fonctionnel dans le conteneur fichier (écoute sur 6080) : <em>normalement résolu par <a class="changeset" title="Lancement du service websockify sans pty * dicos/51_eop.xml : ajout de pty='False' car le servic..." href="https://dev-eole.ac-dijon.fr/projects/eop/repository/revisions/9e93a5bb5cbceb5819c0c25c8c1ecaf5986ead9d">eop:9e93a5bb</a></em></li>
</ol> eole-flask - Tâche #10862: EOP : permettre l'accès aux consoles vnc sur AmonEcolehttps://dev-eole.ac-dijon.fr/issues/10862?journal_id=440492015-03-17T08:29:46ZLionel MorinLionel.Morin@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Assigné à</strong> mis à <i>Lionel Morin</i></li></ul> eole-flask - Tâche #10862: EOP : permettre l'accès aux consoles vnc sur AmonEcolehttps://dev-eole.ac-dijon.fr/issues/10862?journal_id=440502015-03-17T08:29:57ZLionel MorinLionel.Morin@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>En cours</i></li></ul> eole-flask - Tâche #10862: EOP : permettre l'accès aux consoles vnc sur AmonEcolehttps://dev-eole.ac-dijon.fr/issues/10862?journal_id=442572015-03-20T08:58:53ZLionel MorinLionel.Morin@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Statut</strong> changé de <i>En cours</i> à <i>Résolu</i></li></ul> eole-flask - Tâche #10862: EOP : permettre l'accès aux consoles vnc sur AmonEcolehttps://dev-eole.ac-dijon.fr/issues/10862?journal_id=442732015-03-20T13:06:54ZLionel MorinLionel.Morin@region-academique-bourgogne-franche-comte.fr
<ul><li><strong>Restant à faire (heures)</strong> changé de <i>12.0</i> à <i>1.0</i></li></ul> eole-flask - Tâche #10862: EOP : permettre l'accès aux consoles vnc sur AmonEcolehttps://dev-eole.ac-dijon.fr/issues/10862?journal_id=443382015-03-23T16:19:37ZKlaas TJEBBES
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li><li><strong>Restant à faire (heures)</strong> changé de <i>1.0</i> à <i>0.0</i></li></ul><pre>
root@amonecole:~/tests# iptables-save |grep 6080
-A PREROUTING -p tcp -m tcp --dport 6080 --tcp-flags SYN,RST,ACK SYN -j DNAT --to-destination 192.0.2.52:6080
</pre>
<p>La règle de FORWARD est inutile.</p> eole-flask - Tâche #10862: EOP : permettre l'accès aux consoles vnc sur AmonEcolehttps://dev-eole.ac-dijon.fr/issues/10862?journal_id=443802015-03-24T12:30:11ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>% réalisé</strong> changé de <i>0</i> à <i>100</i></li></ul>