Project

General

Profile

Scénario #12171

Bug proxy-pere Amon 2.4.0 et 2.4.1

Added by Emmanuel GARETTE almost 6 years ago. Updated over 5 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Category:
-
Start date:
06/24/2015
Due date:
07/10/2015
% Done:

100%

Estimated time:
(Total: 2.00 h)
Spent time:
(Total: 2.58 h)
Story points:
1.0
Remaining (hours):
0.00 hour
Velocity based estimate:
Release:
Release relationship:
Auto

Description

Bonjour,

Suite aux contacts sur IRC avec Emmanuel, nous avons remonté un bug lié au proxy squid. Les appels à un proxy-père ne fonctionnent pas correctement.
Nous avions fait les mêmes conf sur 2.3 et cela fonctionne toujours très bien. Nous avons reporté ces mêmes conf sur 2.4.0 et 2.4.1 et nous constatons le problème.

Nous souhaitons que les accès vers des domaines comme "in.ac-creteil.fr | in.orion.education.fr | in.ac-versailles.fr | ader.gouv.fr" passe par un proxy-pere: 192.168.74.130:8080 . Ce proxy-pere est dans notre intranet, en zone Agriates. Notre infra en centrale impose que, pour les eple, les accès aux ressources situées dans Racine passent par ce proxy situé en Agriates.

Dans un premier temps, en appelant une application dans un domaine in.ac-creteil.fr, nous pouvons nous authentifier. Les logs sur le proxy-pere montre que nous passons bien par lui.
Suite à l'authentification, nous avons une page blanche sur l'application et ça mouline. Dans les logs squid du proxy-père, il n'y a plus rien. Dans les logs squid du serveur Amon 2.4.0 ou 2.4.1, il y a une erreur 504 (gateway timout).

En ligne de commande depuis le amon, nous constatons la même chose:
1- links -http-proxy "adresse_ip_eth1_amon:3128" http://<NOTRE_SITE.IN.AC-CRETEIL.FR> -> on s'authentifie puis ça mouline
Ou comme l'a décrit Emmanuel:
navigateur web <=> dansguardian <=> squid <=> proxy père <=> serveur distant: ca ne fonctionne plus.

2 - links -http-proxy "<NOTRE_PROXY_PERE_DIRECTEMENT:8080" http://&lt;NOTRE_SITE.IN.AC-CRETEIL.FR> -> ça fonctionne très bien tout de suite. Donc, notre proxy-père ne semble pas en cause et d'ailleurs, il continue à fonctionner correctement avec les proxy-enfants 2.3 toujours en production.

Afin de dépanner nos eple en 2.4.0 ou 2.4.1, nous avons autorisé, en modifiant les regles sur notre pare-feu Fortinet, les subnets admin de nos eple à accéder directement aux ressources en zone racine sans passer par le proxy-pere en Agriates.
Ou comme l'a décrit Emmanuel: navigateur web <=> dansguardian <=> squid <=> serveur distant: Ca fonctionne trsè bien, mais ce n'est pas adéquat.

En pièce jointe, vous trouverez un zephir.eol de 2.4.1

zephir_config_754.eol - zephir.eol_ 2.41 (7.18 KB) philippe ferreira, 06/23/2015 03:57 PM

common-squid1.conf.patch View (620 Bytes) Daniel Dehennin, 07/22/2015 01:32 PM


Subtasks

Tâche #12173: Proposer un patch en errata pour le proxy père.FerméEmmanuel GARETTE

Tâche #12172: Corriger le template squid pour le proxy-pèreFerméEmmanuel GARETTE


Related issues

Copied from eole-proxy - Tâche #12162: Bug proxy-pere Amon 2.4.0 et 2.4.1 Fermé 06/23/2015

History

#1 Updated by Emmanuel GARETTE almost 6 years ago

  • Assigned To changed from Emmanuel GARETTE to force jaune
  • Release set to EOLE 2.4.2

#2 Updated by Emmanuel GARETTE almost 6 years ago

  • Story points set to 1.0

#3 Updated by Daniel Dehennin over 5 years ago

  • Status changed from En cours to Terminé (Sprint)

#5 Updated by Daniel Dehennin over 5 years ago

ERRATA

L'accès au proxy père n'est pas forcement fonctionnel. Si vous avez les erreurs suivantes au démarrage de Squid :

# /etc/init.d/squid3 restart
 * Restarting Squid HTTP Proxy 3.x squid3
 * Waiting...
 * ...
 * ...
 * ...
 * ...
 * ...
 * ... [ OK ]
2015/06/23 15:49:14| strtokFile: xxxxxxxx not found
2015/06/23 15:49:14| Warning: empty ACL: acl intradom0 dstdomain "xxxxxxxx" 

Il faut ajouter le patch common-squid1.conf.patch

Ce problème a été introduit dans la version 2.4.1 et est résolu dans la version 2.4.2.

Also available in: Atom PDF