Project

General

Profile

Evolution #1847

Routage vers un réseau interne

Added by Thierry Chich over 10 years ago. Updated almost 10 years ago.

Status:
Fermé
Priority:
Normal
Category:
-
Start date:
06/10/2011
Due date:
% Done:

100%

Spent time:
Distribution:

Description

L'amon 2.2 a apporté la possibilité de faire un routage en interne. En revanche, il n'est pas possible pour les réseaux qui sont routés d'utiliser les services du amon. Par exemple, si 192.168.1.0/24 est le réseau d'interconnexion et que l'on veut router vers des réseaux 192.168.2.0/24, il n'est pas possible que les machines qui seraient derrière le routeur utilise le squid de l'amon. (par exemple 192.168.2.1). En effet, l'acl du squid sera positionnée sur le réseau d'interconnexion. Même chose pour le dns.
Cela est ennuyeux car pas mal de réseaux pédagogiques sont segmentés et routés par un routeur interne.

squid.conf.patch View (1.19 KB) Guillaume PITARD, 06/20/2011 10:13 AM

spcl.options.patch View (522 Bytes) Guillaume PITARD, 06/20/2011 11:00 AM


Related issues

Related to Amon - Evolution #1902: Permettre aux réseaux internes derrières une GW d'utiliser le VPN Fermé 06/30/2011

History

#1 Updated by Joël Cuissinat over 10 years ago

Est-ce que ça a un rapport avec les demandes #1295 et #1660 pour lesquelles les modifications sont actuellement disponibles en mise à jour candidate ?

Si vous avez des pistes pour la correction (morceaux de configuration squid ou autre) n'hésitez pas à les ajouter à la demande ;)

#2 Updated by Guillaume PITARD about 10 years ago

Le rapport avec les autres demandes n'est pas du tout direct. Il s'agit du même problème sur le fond comment faire pour que les machines d'un réseau connecter derrière un routeur derrière une interface de l'amon puissent avoir accès à l'internet.
Mais dans un cas il y a utilisation d'une chaîne de proxy (dont un proxy père académique), et dans le cas de cette demande, il n'y a qu'un proxy entre les clients et internet (celui de l'amon) et il faut positionner des acl pour autoriser dans squid ces nouveaux clients.

Je vous joints un nouveau patch issue des fichiers de la candidate

#3 Updated by Guillaume PITARD about 10 years ago

Complément pour autoriser la récursion dns pour ces nouveaux clients.

Je vous joints un nouveau patch issue des fichiers de la candidate.

#4 Updated by Guillaume PITARD about 10 years ago

  • Status changed from En attente d'informations to Nouveau

C'est bien une nouvelle demande, et non un commentaire.

Cordialement,

#5 Updated by Thierry Chich about 10 years ago

  • Status changed from Nouveau to En attente d'informations

Ces patches me paraissent vraiment répondre à la problématique.
Reste la question de savoir si quelque chose doit ou peut faciliter l'écriture des règles ?

#6 Updated by Joël Cuissinat about 10 years ago

  • Target version set to Mises à jour 2.2.3 - 02 RC

#7 Updated by Guillaume PITARD about 10 years ago

A la lecture de la doc ARV pour Sphynx 2.3, une petite question me viens à l'esprit. Est-ce-que ces nouveaux réseaux (les réseaux derrières le routeur peda) pourront facilement être ajouter dans les réseaux de l’établissement de l'interface ARV (pourrons-nous utiliser les variables multivalués route_adresse et route_netmask dans l'onglet reseau-avance ). Jusqu'à présent avec les sphynx 2.2 nous ajoutions 3 tunnels en 172.x.x.x/22 vers les réseaux de la RFC manuellement après l'initialisation de l'amon sur les sphynx.

Si ce n'est pas le cas je souhaite ajouter la fonctionnalité à cette demande.

Cordialement,

#8 Updated by Joël Cuissinat about 10 years ago

  • Assigned To set to Fabrice Barconnière

#9 Updated by Fabrice Barconnière about 10 years ago

  • Status changed from En attente d'informations to Résolu
  • % Done changed from 0 to 100

Modifications faites pour EOLE 2.2 et 2.3 dans squid.conf et spcl.options. Les modèles ERA sont déjà bon pour accepter les requêtes de ces réseaux.

Pour Guillaume : concernant ARV, il faudra créer les modèles de réseaux et de tunnels manuellement (rien n'est repris de Zéphir). Pour chaque Amon, il faudra renseigner les réseaux (manuellement dans ARV) et ajouter les tunnels. Une fois ceci effectué, la génération de la conf ipsec prendra en compte ces réseaux.
Je n'ai pas testé mais il va falloir générer des politiques d'exception pour qu'Amon ne passe pas par ipsec pour ces "nouveaux" réseaux surtout si il ont cet adressage (172.x.x.x/22) qui peut être inclus dans 172.16.0.0/12 (RFC).

Je ferme cette demande et en ouvre une autre sur Amon 2.3

#10 Updated by Joël Cuissinat almost 10 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF