Situacion con navegacion

[jlpalacios]

Hola colegas, tratare de ser lo mas escueto y claro posible para ver si alguno de uds me puede ayuda!!
El asunto es el siguiente en mi empresa tengo instalado el Zentyal y configurado como Gateway, como Firewall y como Proxy, el tic del problema es que tengo unas oficinas que pertenecen a mi red, y alla los usuarios reciben todos los servicios desde mis servidores, no hay problema de ningun tipo desde el punto de vista de los servicios, el problema esta en que cada vez que navegan, a pesar que se autentifican y que tengo creado las Politicas de Objetos, y las Politicas de Grupo, a estos usuarios las peticiones no le pasan por los filtros, o sea navegan sin ningun tipo de restrincion.

Para que tengan una idea de como esta hecha la conexion con ellos:
- El Zentyal tiene dos tarjetas de red, una para la interna (192.168.100.xxx) y otra para la externa (10.20.10.xxx) que conecta con un Shitch L3, que ahi esta el punto de mi proveedor.
- La conexion de esas oficinas es a ese mismo shitch, por lo que la conexion la hacen al zentyal por la iface externa, esas oficinas tienen como subred la misma que la iface externa (10.20.10.xxx), por supuesto usando como puerta de enlace la ip externa del zentyal.

Quisiera saber si alguien me pudiera ayudar para que estos usuarios pasen por los filtro, he pensado en varias soluciones pero no he puesto en practica ninguna para no afectar los servicios en con eso de prueba - fallo, las mismas son:
- Poner las pc de esas oficinas en el mismo rango de ip, pero se que debido a que entrar por la misma iface quizas sea envano.
- Activar el Portal Cuativo para que esos usuarios hagan uso de el, pero en este caso el portal cautivo solo me sale activo para la red interna y no se como cambiarlo para la externa.

Bueno es ese el asunto que me acoge ahora espero que alguien me pueda ayudar en esto, si conocen alguna solucion le agradeceria que la compartieran,
sin mas, agradecido antemanos,
salu2,

JLPalacios

[djpablopol]

Hola, me parece que tu problema es la configuracion del armado de la red, veamos un poco eso.
La red para que un proxy filtre tiene que estar de la siguiente manera.

Conexion a internet >>>>Zentyal >>>>>Switch >>>> y aca conectadas las pc de la red.

La confifuracion de red es de la siguiente manera supongamos:
La tarjeta  iface externa (no te olvides de marcar el tic de puerta de enlace) que es  (10.20.10.xxx) esta va al Shitch L3 y desde la otra tarjeta (192.168.100.xxx) tendrias que poner otrao switch y en este va conectada toda tu red de oficina.

Entonces con esto logras que todos los clientes pasen si o si por Proxy, ahora si lo haces y no te filtra es otro tema avisas y lo explicamos. La red te quedaria algo haci:

Internet >>>> Zentyal Filtrando  >>>>> Clientes

A las ordenes

[jlpalacios]

Hola colega djpablopol, lo que me explicas lo tengo bien claro, para suerte mia no es primera vez que trabajo con redes, ahora si es mi primera vez con linux; debido a la situacion geografica que existe entre esas oficinas que menciono y la ubicacion de mis servidores es que no puedo cambiar la estructura o armado de la red, como quieras llamarle, la distancia que nos separa es aproximadamente de 400 metros, te comento que anteriormente usaba el ISA Server 2006 de Window con la misma estructura y no se me daba esta situacion; desde hacia tiempo yo buscaba migrar a linux pero debido a que no manejo mucho el tema, trate de asistis a cursos de superacion y demas, pero bueno fueron pocos los que pude recibir, y de pronto me encuentro al genial ZENTYAL, la solucion a mis problemas, que de verdad me ha parecido genial, pero bueno como novato al fin me encuentro a cada ratico problemas que si no fuera por desconocimiento los pudiera resolver yo mismo.
Como te comente anteriormente usaba el ISA, en el yo establecia cual era mi red interna, ahi establecia el rango de IPs de la red interna (192.168.100.1 - 192.168.100.255) y el rango de las IPs de las PC que tenia en la otra oficina (10.20.10.150 - 10.20.10.250), por lo que todo en esos rangos era reconocido por el ISA como la red interna; se que en linux existen un sinnumeros de cosas que se pueden hacer pero bueno a como ya yo dije soy un novaton, y me remito a los colegas del foum para ver si alguno sabe como pudiera hacer algo parecido a lo que tenia montado con el ISA, sin mas, esperando la colaboracion,
atte,
Salu2
JLPalacios

[djpablopol]

Hola disculpame, no custiono que no sepas de redes, si lo sabes mejor porque posiblemente sepas mas que yo en redes solo intento ayudarte con lo poco que se.

Bueno como esta configurado el proxy en el PDC (Transparente o Con Puerto configurado) ya que puede estar por ahi el tema.

Si esta transparente la puerta de enlace en los clientes tiene que ser el PDC, Si esta con puerto configurado tenes que modificar el cortafuegos del PDC para que solo escuche el puerto configurado.

Si quieres explica como tenes configurado eso y los clientes y capas que sale algo.

Saludos A las ordenes

[jlpalacios]

Hola colega, disculpame tu a mi, en ningun momento insinue que cuestionaras mis conocimientos en red, solo que bueno quice aclarar ese puntico, para que nadie fuera a pensar que otra cosa.

Bueno respondiendote las preguntas, el PDC lo tengo configurado con el puerto activado (3128), en el cortafuego tengo activado varios puertos, pues a como ya comente desde el primer post, en esas oficinas se reciben todos los servicios desde mis servidores, a la hora que digo servicios me refiero a: DNS, Directorio Activo, Mensajeria(jabber), Actualizacion y Administracion de Antivirus(NOD32), Actualizacion del O.S (WSUS), Servicio FTP y WEB local, Correo (tanto por POP3 outlook y thunderbird como por web WordClient de MDaemon, por el puerto 3000), por lo que podras imaginarte los puertos que tengo permitido, y por supuesto a esos sumale el del proxy, todos  estos puertos que se que son los que usan estos servicios los agregue en un Servicio que cree en el Dashboard/Red/Servicios, llamado como esas oficina (XOficinas).

Despues cree un Objeto de Red (OficinasX), con el rango de los IPs de esas oficinas y en el cortafuego, estableci que todo lo que venga desde el exterior a Zentyal que se origine del Objeto OficinasX usando los servicios XOficinas sea permitido.

Los clientes tienen configurado como puerta de enlace el IP externo del Zentyal (10.20.10.10), el DNS y servidor de dominio son internos de mi red o sea, el DNS: 192.168.100.2 (de subred interna),  el navegador de cada cliente esta configurado con el IP externo del PDC y por supuesto el puerto 3128, fuera de eso no tengo hecho mas nada como para suponer que sea eso lo que este mal, tu o alguien pudiera darme una ayuda con eso, que estoy haciendo mal!!!!!???
sin mas,
Salu2,
JLPalacios

[djpablopol]

Hola si te puede ayudar.

Mirando lo que publicate me parese que estas pasando por atras del proxy.

Tu dices que la conexion a internet es IP externo del Zentyal (10.20.10.10) y tu red interna es 192.168.100.2  y en los clientes tienes configurado IP externo del PDC cuando me parece que tiene que ir la interna del PDC que es (192.168.100.2) que es la que escucha el servicio Squid.

Abajo te dejo un dibujo de lo que pienso.
 
Avisa y seguimos en contacto y para ver si alguien mas puede opinar para ayudar a los colegas.

DJPABLOPOL

[jlpalacios]

Hola Djpablopol, disculpa no me explique bien, pero bueno si pudieras relee lo que ya habia postedo, no obstante me explico, los clientes que estan configurados de esa manera no son los que tengo en la red interna sino los que estan en las oficinas que ya habia comentado estan a 400 metros de distancia de mi servidor Zentyal (Gateway Firewall y Proxy), esos clientes se conectan a mi red interna haciendo uso de la tarjeta de red externa (10.20.10.10), por ello los configure de manera tal que pudieran ubicar a mi servidor en la red, ya que la sub red 192.168.100.xxx, esta por detras del Firewall y no esta visible a las redes externas por lo que los clientes no encontrarian ese IP en toda la red ya que la IP publica es la 10.20.10.10 y no la 192.168.100.1, aqui te envio algo para que veas mejor a como esta la conexion realizada:



Espero ahora si haberme explicado bien y que puedas entender lo que tengo realmente ,
salu2,
JLPalacios

[djpablopol]

Hola perdon ahora te entendi.

Pero que alguien me corrija si me equivoco pero me parece que SQUID solo escucha las perticiones desde la red interna. ya que trabaja en un solo sentido escuchando peticiones desde adentro hacia afuera.

Me parece que la solucion es agregarle una Tarjeta mas al PDC y configurarla por adentro a la puerta de enlase.

Lamento no poder ayudarte mas saludos djpablopol.

[jlpalacios]

Ok colega te agradezco de todos modos la ayuda, dices que el squid solo escuhca peticiones desde la red interna, bueno eso la verdad no se hasta que punto sea asi, porque a como he dicho soy mas que un novaton en esto de linux, pero bueno a como dije desde aquellas oficinas se puede navegar bien, solo que no pasan por los filtros establecido, el porque la verdad no se si sera eso que dices del squid, pero bueno seguire indagando a ver si hay alguna otra solucion, porque de lo contrario tendria que probar con eso que me dices de por otra tarjeta aunque recuerda que mi conexion pasa por un switch L3, la tercera tarjeta a donde conectaria, te repito nuevamente muchas gracias por la ayuda y el interes de ayudar, aqui estare esperando por si se te acurre algo nuevo o que alguno de los colegas del forum se le ocurre alguna idea, sin mas,
salu2,

JLPalacios