PhenIXUS

[Onehebergeur]

Bonjour, voici ma question ...

J'ai un ipcop 2.1.5 et tout fonctionne à merveille sur le LAN enfin ds les locaux ou l'ipcop ce trouve...

Freebox en 192.168.0.254 : Routeur ON
Ipcop en 192.168.0.1 : Rouge
Ipcop en 192.168.1.254 : Vert

Bref tout marche... ma question, j'aimerai profiter du filtrage à distance ...

Style avoir un autre site et mettre chez eux le proxy (DNS) et le port ... 8080 ... j'ai ouvert tout ce qu'il faut mais j'ai toujours : La connexion a été refusée par le serveur proxy

En gros j'aimerai ouvrir mon proxy sur le WAN ... avec certaine IP WAN pour sécurisé un peu ... cela m'éviterai de mettre un ipcop par site ... vs avez une solution ?

Merci.

[Onehebergeur]

Je me permet de faire un petit UP ...

Meme si il faut modifier un fichier de config, ne pas hésiter.

Le but étant d'économiser un ipcop par site ...

Merci

[jdh]

A partir d'une certaine taille, il est à conseiller de ne pas installer un proxy sur un firewall.
(De toute évidence, les besoins mémoire, processeur et disque n'ont rien à voir, et Squid pourrait perturber le bon fonctionnement du firewall, ...)

Il est raisonnable d'utiliser un firewall en respectant son mode d'utilisation habituel et normal ...

Squid sur Ipcop est prévu pour n'écouter que les machines dans le LAN, c'est assez normal et logique.
Il n'est pas certain que l'interface du proxy soit bien prévu pour changer le réseau autorisé.

Il serait très étonnant d'ouvrir sur le WAN une telle fonction.

A la limite, pour un schéma avec plusieurs sites dont un site central, on pourrait imaginer un proxy 'central' (et configuré pour écouter tous les réseaux des sites).
Mais ce serait assez stupide pour la performance :
- un PC d'un site distant demande au proxy central une url,
- le proxy central récupère le flux via la ligne du site central ... et
- transfere le flux vers le site du PC.
De façon évidente, la perf sera très très réduite !
Or, comme il faut réaliser le VPN inter-sites, il est bien plus judicieux de mettre N firewall et autant de proxy !

[Onehebergeur]

Bonjour, après multiple test, il s'avére que si je me connecte à travers un VPN sur le LAN VERT ... avec un peu de paramétrage le tout fonctionne.

L'ipcop est une machine surpuissante donc aucun souci ...

Je vais donc investir ds 4 routeur VPN qui ce connecteront automatiquement sur le réseau vert via routage sur rouge ...

Comme cela pour les PC distant tout sera transparent et impossible à "contourner" merci de votre aide.

Sujet à clôturer.

[Franck78]

Je vais donc investir ds 4 routeur VPN qui ce connecteront automatiquement

Ca s'appelle aussi un IPCop . Sur un celeron. L'ennui, c'est la consommation de courant par rapport a un bête dg834 !

[Onehebergeur]

L'ipcop est installé sur une machine (PC) quad core ... 4 Go de RAM bref un truc ou y'aura aucun souci avec Ipcop.

Ma question d'origine était juste si a distance si y'avais moyen juste de mettre en proxy le WAN ou ya l'ipcop + port 8080 ... avec la redirection qui va bien mais j'ai toujours une erreur ...

En investissant ds 4 routeur vpn ... les réseau distant vont ce connecter sur un NAS ... DS214+ (synology) avec 2 interface LAN ...

Le syno est raccorder sur le vert et le rouge sur 2 plage ip différentes ...

En connectant un Windows via connexion VPN classique j'arrive a pinger la passerelle IPCOP du réseau vert et en mettant le proxy le filtrage marche.

Le seul souci c'est que ds le journal du filtre d'url je vois que l'ip du nas ... ce qui est normal car l'ipcop pense que c'est le VPN du nas qui fait la requete pour le web mais bon rien d'embetant ...

Donc je me vois mal avoir 50 PC avec 50 tunnel VPN sur 4 sites distants ... bien que le nas ne gére que 15 tunnel ...

Donc 4 site = 4 routeurs VPN et le routage sera fait par celui-ci ...

J'attend la reception des 4 routeurs => TL-LINK TL-ER604W.

Merci, si vs avez une autre solution je vous écoute

[Franck78]

Le schéma doit être parfaitement clair, dans ta tête seulement

Faire un proxy 'semi public' on va dire, oui si tu as des problèmes de localisations (niveau pays) et que tu veux rendre service à d'autres sans VPN. Mais IPCop n'est pas prévu pour ça.