PhenIXUS

[chaip]

Bonjour !


Contexte :
J'ai installé il y'a peu un ipcop 1.4.21 sur un petit poste dédié. J'ai une trentaine de postes en lien vers l'ipcop mais en dehors des pagesjaunes et de quelques sites professionnel, internet est peu utilisé.

Besoin :
Un filtrage internet simple à prendre en main et rapide à configurer. Mon patron est content, il pensait que certains employés passaient trop de temps sur Facebook et autre réseaux sociaux, maintenant c'est réglé.

Mais un problèmes est apparu, je n'arrive plus a faire passer les requêtes de Microsoft lors de l'activation de leurs logiciels.

Schéma :

Code : Tout sélectionner

       postes utilisateurs
               |
Serveurs---switch ----ipcop
               |
          passerelle / routeur
               |
          internet  (par Oleane donc avec pare feu intégré) 

Le schéma n'est pas très clair désolé.
pour faire simple, il n'était pas possible de mettre l'ipcop entre la connexion internet et notre réseau (pas possible de changer l'adresse lan du routeur oleane, et pas possible de changer le plan d'adressage ip de nos postes sans faire des changement sur certain logiciels maison.
Donc j'utilise simplement ipcop en tant que proxy, qui sont automatiquement configuré sur chaque postes via une gpo.

Firewall/Serveur-passerelle multifonctions :

ipcop version 1.4.21
+ ipcop-urlfilter-1.9.3
+ ipcop-advproxy-3.0.6

Adressages :

interface verte : 192.168.0.250
interface rouge : non configurée

passerelle : 192.168.0.10


Question :

Quel réglages faire pour laisser passer les requêtes d'activation de Microsoft ?


Pistes imaginées :

C'est un blocage du module proxy, mais je ne trouve pas comment laisser passer certaines choses.

Logs et tests :

Dans le module urlfilter j'ai autorisé "http://crl.microsoft.com/" , "microsoft.fr", "productactivation.one.microsoft.com"
Mais en vérifiant les logs ce n'est pas le module urlfilter qui bloque mais le serveur mandataire.


Je viens de réinstaller un poste (192.168.0.58) et donc je cherche a activer le pack office. qui bien sur me dis que la connexion internet est défectueuse.

Logs du serveur mandataire pour le poste en question.

Code : Tout sélectionner

Heure   Adresse IP source   Site web
12:13:21   192.168.0.58   productactivation.one.microsoft.com:443
11:59:03   192.168.0.58   productactivation.one.microsoft.com:443
11:57:47   192.168.0.58   productactivation.one.microsoft.com:443
11:49:39   192.168.0.58   productactivation.one.microsoft.com:443
11:49:24   192.168.0.58   productactivation.one.microsoft.com:443
11:45:54   192.168.0.58   productactivation.one.microsoft.com:443
11:41:40   192.168.0.58   productactivation.one.microsoft.com:443
11:34:19   192.168.0.58   http://crl.microsoft.com/pki/crl/products/CodeSignPCA2.crl
11:33:11   192.168.0.58   http://crl.microsoft.com/pki/crl/products/CodeSignPCA2.crl
11:32:53   192.168.0.58   http://crl.microsoft.com/pki/crl/products/CodeSignPCA2.crl
11:32:26   192.168.0.58   http://crl.microsoft.com/pki/crl/products/CodeSignPCA2.crl
11:30:54   192.168.0.58   http://crl.microsoft.com/pki/crl/products/CodeSignPCA2.crl


Merci de votre aide !

[jdh]

(Bravo pour l'utilisation du formulaire ! Certains nouveaux savent l'utiliser !)


Ipcop fournit un proxy, ainsi que des pages web de configuration.
Cependant, à partir d'une certaine taille, il est à recommander de séparer le firewall et le proxy ...
Je ne suis pas sûr qu'Ipcop soit bien conçu pour fonctionner sans interface Red !


Attention à ne pas faire d'analyse erronée de la situation :
- est ce le positionnement inhabituel d'ipcop qui gène ?
- est ce le proxy qui bloque les mises à jour (via les addons chargés) ?
- est ce la passage par proxy qui gène les outils microsoft ?

Sous XP, il y avait la commande "proxycfg" qui validait le passage via un proxy déclaré ...

Les windows update se terminent il par un code d'erreur type 0x800.....

[Franck78]

Hello,

Je viens de réinstaller un poste (192.168.0.58) .... qui bien sur me dis que la connexion internet est défectueuse.

A la base, déclarer un proxy http/https ne géne pas plus que ça un poste de travail

Il y a quoi dans le gpo ?
Et sans application du GPO sur un poste neuf, ça fonctionne au moins ?

Facebook et autre réseaux sociaux, maintenant c'est réglé

De quelle façon ? Est-ce que IPCop sans ces réglages particuliers laisse passer les activations ?

bye
Franck

[chaip]

(Bravo pour l'utilisation du formulaire ! Certains nouveaux savent l'utiliser !)

Je viens faire une demande d'aide, c'est la moindre des choses que d'utiliser le formulaire.

Ipcop fournit un proxy, ainsi que des pages web de configuration.
Cependant, à partir d'une certaine taille, il est à recommander de séparer le firewall et le proxy ...
Je ne suis pas sûr qu'Ipcop soit bien conçu pour fonctionner sans interface Red !


Attention à ne pas faire d'analyse erronée de la situation :
- est ce le positionnement inhabituel d'ipcop qui gène ? Je ne vois pas trop pourquoi. De toute façon je n'ai pas le choix quand à son emplacement sur le réseau.
- est ce le proxy qui bloque les mises à jour (via les addons chargés) ? Oui, c'est ce que m'indique le log du proxy.
- est ce la passage par proxy qui gène les outils microsoft ? encore une fois oui, le log me le montre, et surtout si je met l'adresse ip du poste dans la liste des "Adresses IP non restreintes" ça fonctionne.


Sous XP, il y avait la commande "proxycfg" qui validait le passage via un proxy déclaré ...

Les windows update se terminent il par un code d'erreur type 0x800.....

Je n'ai pas d'erreur de Windows update, j'ai un serveur wsus donc je ne passe pas par internet pour mes mise à jours Windows.


En fait la seul chose qui m’intéresse dans ipcop c'est le filtre d'url, les autres fonctions ne me servent pas.

[chaip]

Hello,

Je viens de réinstaller un poste (192.168.0.58) .... qui bien sur me dis que la connexion internet est défectueuse.

A la base, déclarer un proxy http/https ne géne pas plus que ça un poste de travail

Il y a quoi dans le gpo ?
Et sans application du GPO sur un poste neuf, ça fonctionne au moins ? Ouep ça marche !

Facebook et autre réseaux sociaux, maintenant c'est réglé

De quelle façon ? Est-ce que IPCop sans ces réglages particuliers laisse passer les activations ? J'ai choisis la blacklist de l'université de toulouse et coché tous plein de cases
Par contre je n'ai pas essayé de désactiver le filtre url pour voir si mes mises à jour passent, mais à priori le blocage est avant le filtre d'url.

bye
Franck

Le rapport du gpo qui s'applique pour le proxy sur les postes :

[Franck78]

J'ai choisis la blacklist de l'université de toulouse et coché tous plein de cases
Par contre je n'ai pas essayé de désactiver le filtre url pour voir si mes mises à jour passent, mais à priori le blocage est avant le filtre d'url.

C'est quand même gonflé d'arriver à la conclusion certaine que le filtre filtre effectivement et ne pas chercher quelle sous liste bloque !

https://productactivation.one.microsoft.com/
donne quoi dans un naviguateur filtré ? 401 - Unauthorized: Access is denied due to invalid credentials. est la réponse attendue.

Evite de mettre en quote un message entier, c'est illisible.