Discussion :

[Franckito]

Bonjour.
Je viens de déplacer un proxy avec mod_proxy d'un serveur dédié (ubuntu) à un autre (Debian Lenny) sur lequel tourne OCS-inventory server. J'ai repris les fichiers de config, tout tourne bien pour le http mais les requêtes pour le https ne passent pas... Dans error.log, j'ai les messages suivants :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

proxy: DNS lookup failure for: webmail.site.fr:443

J'ai bien chargé les modules proxy et proxy_connect.

Est-il possible de faire passer du https par le proxy sachant que le port 443 est utilisé par OCS-inventory (sauf erreur de ma part) ?

Merci d'avance !

[_Mac_]

Oui, modulo peut-être une configuration de certificat.

Ton erreur indique qu'il y a un problème de résolution de nom. Est-ce que tu peux nous donner ta conf ?

[Franckito]

Merci pour la réponse rapide.
Config générale :
On passe tous par le proxy du siège ( http://adresse_proxy:8080 ci-dessous). Certains ont un accès full internet, d'autres non (filtrage par IP). Le proxy dont on parle a une adresse full internet. Pour Http ça marche bien (la preuve...)

La conf du proxy :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
<IfModule mod_proxy.c>
  ProxyRequests on
 
        <Proxy *>
                AddDefaultCharset off
                Order deny,allow
                Deny from all
                Allow from 10.***.***.***
        </Proxy>
 
ProxyRemote * http://adresse_proxy:8080
NoProxy .site.local
ProxyVia on
</IfModule>

J'ai bien répondu à ta question ?

[_Mac_]

Oui. Si tu te connectes au serveur proxy dont tu donnes la conf, est-ce que le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ping webmail.site.fr

fonctionne ? Essaie également, toujours depuis cette machine, de faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

telnet webmail.site.fr 443

ça doit accrocher. Si le ping passe mais que a n'accroche pas, ça peut-être un problème de pare-feu ou de politique de sécurité.

[Franckito]

Bonjour.
Aucun des deux ne passe. Mais ça me paraît normal, il y a effectivement des restrictions. Seuls les flux web peuvent sortir sur le proxy principal.
On m'a expliqué que les systèmes passant par les proxies ne font pas de requêtes DNS directement, mais ces requêtes sont "encapsulées" dans les requêtes HTTP transmises au proxy. Ça semble fonctionner ainsi pour le HTTP mais visiblement ça ne passe pas pour le HTTPS...

[_Mac_]

Oui, pardon, effectivement. Mais du coup, c'est là qu'est le problème : Apache a visiblement envie de connaître l'IP de webmail.site.fr ou webmail.site.fr:443, mais je ne sais pas pourquoi.

Y a des RewriteRule avec un [P] quelque dans ta conf ?

Sur l'ancien serveur où tout marchait, y avait des trucs en plus pour webmail dans le fichier /etc/hosts ?

[Franckito]

Non, pas de rewrite. Et rien dans /etc/hosts sur l'ancienne machine...
Par contre sur le nouveau, il y a un OCS Inventory. Le https est utilisé dans ce cadre pour le déploiement automatisé de fichiers et les clients sont donc pourvus d'un certificat cacert.pem qui est dans le repertoire du client OCS. Je ne sais pas si le problème vient de là (et pourquoi ça se transforme en erreur de DNS lookup pour https et http...) mais j'essaie de donner un max d'info au cas où...
Est-ce que par exemple, en l'absence de certificat, ce n'est pas la résolution de nom qui est la première à planter, puisque la résolution est "encapsulée" dans la flux https ?

[_Mac_]

Le fichier /etc/resolv.conf est le même entre les deux serveurs ? Est-ce que le test du ping et du telnet passent sur l'ancien serveur ?

[Franckito]

Oui, de mémoire, la config est la même de chaque côté. Et le ping et le telnet ne passent pas non plus.
Je confirme demain quand je retourne au boulot.