Evolution #1847
Routage vers un réseau interne
Description
L'amon 2.2 a apporté la possibilité de faire un routage en interne. En revanche, il n'est pas possible pour les réseaux qui sont routés d'utiliser les services du amon. Par exemple, si 192.168.1.0/24 est le réseau d'interconnexion et que l'on veut router vers des réseaux 192.168.2.0/24, il n'est pas possible que les machines qui seraient derrière le routeur utilise le squid de l'amon. (par exemple 192.168.2.1). En effet, l'acl du squid sera positionnée sur le réseau d'interconnexion. Même chose pour le dns.
Cela est ennuyeux car pas mal de réseaux pédagogiques sont segmentés et routés par un routeur interne.
Related issues
History
#1 Updated by Joël Cuissinat over 12 years ago
#2 Updated by Guillaume PITARD over 12 years ago
- File squid.conf.patch View added
Le rapport avec les autres demandes n'est pas du tout direct. Il s'agit du même problème sur le fond comment faire pour que les machines d'un réseau connecter derrière un routeur derrière une interface de l'amon puissent avoir accès à l'internet.
Mais dans un cas il y a utilisation d'une chaîne de proxy (dont un proxy père académique), et dans le cas de cette demande, il n'y a qu'un proxy entre les clients et internet (celui de l'amon) et il faut positionner des acl pour autoriser dans squid ces nouveaux clients.
Je vous joints un nouveau patch issue des fichiers de la candidate
#3 Updated by Guillaume PITARD over 12 years ago
- File spcl.options.patch View added
- Status changed from Nouveau to En attente d'informations
Complément pour autoriser la récursion dns pour ces nouveaux clients.
Je vous joints un nouveau patch issue des fichiers de la candidate.
#4 Updated by Guillaume PITARD over 12 years ago
- Status changed from En attente d'informations to Nouveau
C'est bien une nouvelle demande, et non un commentaire.
Cordialement,
#5 Updated by Thierry Chich over 12 years ago
- Status changed from Nouveau to En attente d'informations
Ces patches me paraissent vraiment répondre à la problématique.
Reste la question de savoir si quelque chose doit ou peut faciliter l'écriture des règles ?
#6 Updated by Joël Cuissinat about 12 years ago
- Target version set to Mises à jour 2.2.3 - 02 RC
#7 Updated by Guillaume PITARD about 12 years ago
A la lecture de la doc ARV pour Sphynx 2.3, une petite question me viens à l'esprit. Est-ce-que ces nouveaux réseaux (les réseaux derrières le routeur peda) pourront facilement être ajouter dans les réseaux de l’établissement de l'interface ARV (pourrons-nous utiliser les variables multivalués route_adresse et route_netmask dans l'onglet reseau-avance ). Jusqu'à présent avec les sphynx 2.2 nous ajoutions 3 tunnels en 172.x.x.x/22 vers les réseaux de la RFC manuellement après l'initialisation de l'amon sur les sphynx.
Si ce n'est pas le cas je souhaite ajouter la fonctionnalité à cette demande.
Cordialement,
#8 Updated by Joël Cuissinat about 12 years ago
- Assigned To set to Fabrice Barconnière
#9 Updated by Fabrice Barconnière about 12 years ago
- Status changed from En attente d'informations to Résolu
- % Done changed from 0 to 100
Modifications faites pour EOLE 2.2 et 2.3 dans squid.conf et spcl.options. Les modèles ERA sont déjà bon pour accepter les requêtes de ces réseaux.
Pour Guillaume : concernant ARV, il faudra créer les modèles de réseaux et de tunnels manuellement (rien n'est repris de Zéphir). Pour chaque Amon, il faudra renseigner les réseaux (manuellement dans ARV) et ajouter les tunnels. Une fois ceci effectué, la génération de la conf ipsec prendra en compte ces réseaux.
Je n'ai pas testé mais il va falloir générer des politiques d'exception pour qu'Amon ne passe pas par ipsec pour ces "nouveaux" réseaux surtout si il ont cet adressage (172.x.x.x/22) qui peut être inclus dans 172.16.0.0/12 (RFC).
Je ferme cette demande et en ouvre une autre sur Amon 2.3
#10 Updated by Joël Cuissinat about 12 years ago
- Status changed from Résolu to Fermé