Scénario #12171
Bug proxy-pere Amon 2.4.0 et 2.4.1
100%
Description
Bonjour,
Suite aux contacts sur IRC avec Emmanuel, nous avons remonté un bug lié au proxy squid. Les appels à un proxy-père ne fonctionnent pas correctement.
Nous avions fait les mêmes conf sur 2.3 et cela fonctionne toujours très bien. Nous avons reporté ces mêmes conf sur 2.4.0 et 2.4.1 et nous constatons le problème.
Nous souhaitons que les accès vers des domaines comme "in.ac-creteil.fr | in.orion.education.fr | in.ac-versailles.fr | ader.gouv.fr" passe par un proxy-pere: 192.168.74.130:8080 . Ce proxy-pere est dans notre intranet, en zone Agriates. Notre infra en centrale impose que, pour les eple, les accès aux ressources situées dans Racine passent par ce proxy situé en Agriates.
Dans un premier temps, en appelant une application dans un domaine in.ac-creteil.fr, nous pouvons nous authentifier. Les logs sur le proxy-pere montre que nous passons bien par lui.
Suite à l'authentification, nous avons une page blanche sur l'application et ça mouline. Dans les logs squid du proxy-père, il n'y a plus rien. Dans les logs squid du serveur Amon 2.4.0 ou 2.4.1, il y a une erreur 504 (gateway timout).
En ligne de commande depuis le amon, nous constatons la même chose:
1- links -http-proxy "adresse_ip_eth1_amon:3128" http://<NOTRE_SITE.IN.AC-CRETEIL.FR> -> on s'authentifie puis ça mouline
Ou comme l'a décrit Emmanuel:
navigateur web <=> dansguardian <=> squid <=> proxy père <=> serveur distant: ca ne fonctionne plus.
2 - links -http-proxy "<NOTRE_PROXY_PERE_DIRECTEMENT:8080" http://<NOTRE_SITE.IN.AC-CRETEIL.FR> -> ça fonctionne très bien tout de suite. Donc, notre proxy-père ne semble pas en cause et d'ailleurs, il continue à fonctionner correctement avec les proxy-enfants 2.3 toujours en production.
Afin de dépanner nos eple en 2.4.0 ou 2.4.1, nous avons autorisé, en modifiant les regles sur notre pare-feu Fortinet, les subnets admin de nos eple à accéder directement aux ressources en zone racine sans passer par le proxy-pere en Agriates.
Ou comme l'a décrit Emmanuel: navigateur web <=> dansguardian <=> squid <=> serveur distant: Ca fonctionne trsè bien, mais ce n'est pas adéquat.
En pièce jointe, vous trouverez un zephir.eol de 2.4.1
Sous-tâches
Demandes liées
Historique
#1 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Assigné à changé de Emmanuel GARETTE à force jaune
- Release mis à EOLE 2.4.2
#2 Mis à jour par Emmanuel GARETTE il y a presque 9 ans
- Points de scénarios mis à 1.0
#3 Mis à jour par Daniel Dehennin il y a presque 9 ans
- Statut changé de En cours à Terminé (Sprint)
#4 Mis à jour par Daniel Dehennin il y a presque 9 ans
- Fichier common-squid1.conf.patch Voir ajouté
#5 Mis à jour par Daniel Dehennin il y a presque 9 ans
ERRATA¶
L'accès au proxy père n'est pas forcement fonctionnel. Si vous avez les erreurs suivantes au démarrage de Squid :
# /etc/init.d/squid3 restart * Restarting Squid HTTP Proxy 3.x squid3 * Waiting... * ... * ... * ... * ... * ... * ... [ OK ] 2015/06/23 15:49:14| strtokFile: xxxxxxxx not found 2015/06/23 15:49:14| Warning: empty ACL: acl intradom0 dstdomain "xxxxxxxx"
Il faut ajouter le patch common-squid1.conf.patch
Ce problème a été introduit dans la version 2.4.1 et est résolu dans la version 2.4.2.