Netasq Ipesec impossible de joindre des page web [Résolu] - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 04-04-2013 à 17:10:59
Ta règle de NAT permet le bypass du filtrage URL.
Il doit y a avoir une règle implicite qui redirige toutes les requêtes vers le port 80 vers le proxy de l'UTM pour qu'il fasse le filtrage URL.
Ton "problème" vient de la.
Marsh Posté le 04-04-2013 à 17:27:16
Oui c'est ce que j'ai écris au dessus.
Quand tu fais une requête http (80) en proxy transparent, en fait le Netasq la redirige automatiquement (via une translation) sur son proxy. C'est ce proxy qui fait le filtrage URL.
C'est probable ensuite que le proxy ne sache pas envoyer la requête dans ton tunnel.
Ca doit être un truc du genre.
J'utilise pas les fonctionnalités intégrées de filtrage URL (pas assez évoluées à mon gout), donc rapidement je peux pas plus t'aider.
Marsh Posté le 04-04-2013 à 17:37:05
J'ai trouvé une option. Je peux ajouter une ligne en plus de
HTTP transparent
Port 80
Interface In
Je peux ajouter une ligne
HTTP transparent
Port 80
Interface Ipsec
Tu crois que ca peut marcher ?
Marsh Posté le 04-04-2013 à 19:13:13
Si le site ou y a le U30 doit juste accéder à 1 serveur web sur l'autre site, tu peux laisser ton bypass du proxy avec ta règle de nat de ton 1er post.
Marsh Posté le 08-04-2013 à 13:15:08
Justement la réponse est non...
J'ai des pages Intranet, j'ai des services qui utilise le port 80 etc... et vice versa par exemple si je veux me connecter sur la page web des multifonctions, je ne peux pas.
Marsh Posté le 08-04-2013 à 15:36:14
Dans la base de connaissance de l'espace client va lire cet article alors :
Depuis que j'ai activé le proxy, je ne parviens plus à communiquer à travers mes tunnels IPSec site à site sur les flux concernés, quel est le problème ?
Marsh Posté le 08-04-2013 à 15:41:17
Sinon il y a également cet article :
Comment désactiver le proxy http pour un site particulier ?
Mais cela correspond à la solution de NAT de ton 1er post.
Marsh Posté le 08-04-2013 à 15:41:29
Ca me semble intéressant, je le poste ici.
Citation : Une fois que le proxy a terminé ses traitements sur une requête HTTP, il doit établir une nouvelle connexion pour relayer cette requête et la transmettre à sa destination réelle. Dès lors, l'adresse IP source de l'émetteur de cette nouvelle connexion n'est plus la machine d'origine mais le firewall. |
Source Netasq
Marsh Posté le 08-04-2013 à 15:50:43
Par contre je me pose la question suivante :
Interface: IN (ou celle sur laquelle écoute le proxy)
Action: Redirect
Source: Any
Destination: site_sans_proxy
Destination port: 80
Translaté: site_sans_proxy
Port translaté: 80
Je dois le faire sur chaque extrémité ?
Marsh Posté le 08-04-2013 à 16:16:05
Si tu as juste 2 sites avec qqs serveurs web de l'autre coté, la solution du NAT est simple.
Tu crées juste ta règle de NAT sur le firewall du site ou il n'y a pas le serveur. En fait c'est juste une règle de NAT qui va être prioritaire sur la règle implicite qui redirige les paquets sur le proxy.
Ca te permet de "bypasser" le proxy transparent.
Ou bien tu pourrais ne pas avoir à faire ça et fonctionner avec un proxy déclaré dans ton navigateur, plusieurs solutions alors : WPAD, gpo, etc.
Mais je crois qu'il faut passer en V9 sur tes Netasq, à vérifier.
Marsh Posté le 08-04-2013 à 16:22:55
En fait, j'ai vérifié je n'ai que des U30 et la V9 est mal supporté alors il faudrait que j'achète des U30X.... donc bon....
Je veux accéder de chaque coté à des pages http. C'est pour ça que je demande s'il faut que fasse le nat sur chaque firewall.
Pour finir, tu me dis de passer par une solution navigateur, cela me convient pas car des fois c'est dans les applications qu'ils utilisent le port 80. Il faudrait dans ce cas modifier le port de communication pour chaque appli... Je trouve cela un lourd.
Marsh Posté le 08-04-2013 à 16:51:10
Oui (au niveau performance)
C'est pour ça qu'ils sortent les nouvelles series U30(X)
La v9 est trop lourd pour les anciennes générations.
Marsh Posté le 04-04-2013 à 16:30:03
Bonjour,
J'ai 2 sites reliés par 2 NETASQ U70 et U30 en Ipsec.
La version du firmware : 8.1.4 de chaque coté.
Je ping bien les 2sites mais j'ai un petit problème pour les requêtes HTTP.
Je suis obligé par exemple pour atteindre la page intranet de :
- mettre une regle de nat qui dit :
Orginal : Network_in
Destination : Serveur IIS
Port de Destination : http
Translaté : Serveur ISS
Port Translaté : http
ou
- mettre un autre port que le port 80. Dans ce cas je ne suis pas obligé de faire du nat.
J'ai l'impression que le Netasq a du mal entre les requêtes http pour aller sur Internet et les requêtes HTTP pour le réseau VPN.
Message édité par PsYKrO_Fred le 09-04-2013 à 17:19:59