Evolution #1847
Routage vers un réseau interne
Description
L'amon 2.2 a apporté la possibilité de faire un routage en interne. En revanche, il n'est pas possible pour les réseaux qui sont routés d'utiliser les services du amon. Par exemple, si 192.168.1.0/24 est le réseau d'interconnexion et que l'on veut router vers des réseaux 192.168.2.0/24, il n'est pas possible que les machines qui seraient derrière le routeur utilise le squid de l'amon. (par exemple 192.168.2.1). En effet, l'acl du squid sera positionnée sur le réseau d'interconnexion. Même chose pour le dns.
Cela est ennuyeux car pas mal de réseaux pédagogiques sont segmentés et routés par un routeur interne.
Demandes liées
Historique
#1 Mis à jour par Joël Cuissinat il y a presque 13 ans
#2 Mis à jour par Guillaume PITARD il y a presque 13 ans
- Fichier squid.conf.patch Voir ajouté
Le rapport avec les autres demandes n'est pas du tout direct. Il s'agit du même problème sur le fond comment faire pour que les machines d'un réseau connecter derrière un routeur derrière une interface de l'amon puissent avoir accès à l'internet.
Mais dans un cas il y a utilisation d'une chaîne de proxy (dont un proxy père académique), et dans le cas de cette demande, il n'y a qu'un proxy entre les clients et internet (celui de l'amon) et il faut positionner des acl pour autoriser dans squid ces nouveaux clients.
Je vous joints un nouveau patch issue des fichiers de la candidate
#3 Mis à jour par Guillaume PITARD il y a presque 13 ans
- Fichier spcl.options.patch Voir ajouté
- Statut changé de Nouveau à En attente d'informations
Complément pour autoriser la récursion dns pour ces nouveaux clients.
Je vous joints un nouveau patch issue des fichiers de la candidate.
#4 Mis à jour par Guillaume PITARD il y a presque 13 ans
- Statut changé de En attente d'informations à Nouveau
C'est bien une nouvelle demande, et non un commentaire.
Cordialement,
#5 Mis à jour par Thierry Chich il y a presque 13 ans
- Statut changé de Nouveau à En attente d'informations
Ces patches me paraissent vraiment répondre à la problématique.
Reste la question de savoir si quelque chose doit ou peut faciliter l'écriture des règles ?
#6 Mis à jour par Joël Cuissinat il y a presque 13 ans
- Version cible mis à Mises à jour 2.2.3 - 02 RC
#7 Mis à jour par Guillaume PITARD il y a presque 13 ans
A la lecture de la doc ARV pour Sphynx 2.3, une petite question me viens à l'esprit. Est-ce-que ces nouveaux réseaux (les réseaux derrières le routeur peda) pourront facilement être ajouter dans les réseaux de l’établissement de l'interface ARV (pourrons-nous utiliser les variables multivalués route_adresse et route_netmask dans l'onglet reseau-avance ). Jusqu'à présent avec les sphynx 2.2 nous ajoutions 3 tunnels en 172.x.x.x/22 vers les réseaux de la RFC manuellement après l'initialisation de l'amon sur les sphynx.
Si ce n'est pas le cas je souhaite ajouter la fonctionnalité à cette demande.
Cordialement,
#8 Mis à jour par Joël Cuissinat il y a presque 13 ans
- Assigné à mis à Fabrice Barconnière
#9 Mis à jour par Fabrice Barconnière il y a presque 13 ans
- Statut changé de En attente d'informations à Résolu
- % réalisé changé de 0 à 100
Modifications faites pour EOLE 2.2 et 2.3 dans squid.conf et spcl.options. Les modèles ERA sont déjà bon pour accepter les requêtes de ces réseaux.
Pour Guillaume : concernant ARV, il faudra créer les modèles de réseaux et de tunnels manuellement (rien n'est repris de Zéphir). Pour chaque Amon, il faudra renseigner les réseaux (manuellement dans ARV) et ajouter les tunnels. Une fois ceci effectué, la génération de la conf ipsec prendra en compte ces réseaux.
Je n'ai pas testé mais il va falloir générer des politiques d'exception pour qu'Amon ne passe pas par ipsec pour ces "nouveaux" réseaux surtout si il ont cet adressage (172.x.x.x/22) qui peut être inclus dans 172.16.0.0/12 (RFC).
Je ferme cette demande et en ouvre une autre sur Amon 2.3
#10 Mis à jour par Joël Cuissinat il y a plus de 12 ans
- Statut changé de Résolu à Fermé