[Résolu] Pas d'accès au proxy depuis les Clients OpenVPN

[seb1408]

Bonjour à tous,

Je vous explique ma situation
J'ai un réseau avec Zentyal en Passerelle sous la forme
Internet -- Routeur [192.168.1.254] <-> Zentyal [WAN: 192.168.1.10/24 (static) LAN: 172.16.0.1/24(static)].
Lorsque je suis dans le LAN, pas problème de Fonctionnement les clients passent bien par le proxy en mode non transparent et sont filtrés.
OpenVPN est configuré avec IP Client 192.168.160.0/24 => la connexion avec certificat se déroule sans problème.
Je configure le navigateur Web des clients VPN avec proxy 172.16.0.1 port 3128 comme pour le LAN => Pas d'accès internet aucun log dans journaux Zentyal.
J'ai déclaré l'objet VPN (Reseau 192.168.160.0/24) dans la stratégie Objet du Proxy => idem pas de connexion au proxy depuis les clients OpenVPN.
J'ai testé un telnet 172.16.0.1 3128 => connexion impossible depuis les clients connectés en VPN.

Peut être une Régle Firewall ? Mais où la placer (Externe Interne - Interne Zentyal ??)

Merci de pour votre aide

[christian]

J'ai bien peur que tu ne puisses pas le faire, au moins en utilisant l'interface graphique de Zentyal.
Je n'ai pas encore regardé s'il s'agit d'une regle FW ou de la config Squid/dansguardian

[seb1408]

 
Bonjour Christian et merci pour ta réactivité.

Je recherche également de mon coté mais j'avoue je sèche un peu là ?

Le but du VPN est bien d'avoir accès aux services du Lan depuis l'exterieur !
Pour info, S'il faut manipuler les fichiers de conf ou template (usr/share/zentyal/stubs/ ...) pas de soucis pour moi.

J'attends des news

Merci

[christian]

oui bien sur, le but du VPN est d’accéder aux services du LAN mais le proxy est un service un peu particulier en ce sens qu'il sert a... sortir.
Comme tu viens juste d'entrer, ça n'a peut-être pas beaucoup de sens de te connecter a ton site pour ensuite accéder a internet   enfin j'imagine que c'est la logique qui a prévalu.
J'essaierai d'approfondir demain puis lundi prochain si je n'ai pas de résultat rapide.

[seb1408]

Bonjour Christian,

Je suis d'accord avec toi quant à la logique du proxy.
Cependant il nous sert à Filtrer également (Surtout les Publicités en tous genre et autres sites "non Pro").
C'est cette option de Filtre que je souhaiterais laisser aux Clients VPN.

De mon coté j'avance sur la possibilité de tout rediriger tout vers le tunnel VPN créé (Push "Gateway-redirect").

[seb1408]

^up

[seb1408]

Ca Fonctionne !!!!

Pour faire fonctionner :
- Configuration OpenVPN avec NAT et Client to Client  coché
- Modification du Fichier Openvpn.mas => Ajout Push "Gateway-redirect". (Tout passe dans le tunnel)
- Création Objet OpenVpn sous réseau 192.168.160.0/24
- Création Groupe et Profil Filtre => Autorisé et Filtré
- Dans Proxy HTTP => Filtrage Objet pour OpenVPN => Toujours Autorisé

Configuration dans Navigateur Client : Proxy => 172.16.0.1 : 3129 [Port de Dansguardian et non Squid]
Ici on veut pas de cache mais du filtrage ...
=> Filtrage OK après authentification

Merci Christian pour ton aide.

[christian]

intéressant. Merci
Pourquoi attaquer Dansguardian sans passer par le proxy ?

quelques commentaires:
l'option NAT sert, au départ, a offrir du VPN a partir d'un serveur ayant une seule interface réseau. Je me demande bien ce qui se passe, en terme de réseau, lorsque tu fais du NAT sur 2 interfaces. NAT intervient sur l'interface en entrée ou en sortie ?
l'option gateway-redirect est certainement un bon plan !

[seb1408]

Pourquoi attaquer Dansguardian sans passer par le proxy ?

Le proxy n'est pas accessible depuis les clients OpenVPN. Pourquoi ? Je pense, comme tu la dis, que la logique d'entrée / Sortie a prévalu. Comme je n'ai besoin que du filtrage plus de pb pour moi.

lorsque tu fais du NAT sur 2 interfaces. NAT intervient sur l'interface en entrée ou en sortie ?

Mon interface OpenVpn configurée est celle du WAN eth0 donc je suppose que la translation ce fait en entrée vers mon LAN ?