Navigation Web Iimpossible derriere Proxy Socks 5

Bonjour,

Linux delm6700 3.2.0-4-amd64 #1 SMP Debian 3.2.35-2 x86_64 GNU/Linux
debian wheezy/sid fraichement installée
Gnome 3.4.2
Iceweasel 10.0.11
Chromium Version 22.0.1229.94 Built on Debian wheezy/sid, running on Debian 7.0 (161065)

La navigation web avec un connexion direct est un vrai bonheur!!
Par contre avec un paramétrage du proxy Socks 5 authentifiant c’est carrément impossible. Quelque soit le navigateur Iceweasel ou chromium.
Les réactions du navigateur se font attendent au moins 30 a 40 secondes.
Je ne sais pas par ou commencer les investigations.

Si quelqu’un a une idée je suis preneur.
Merci d’avance
Eric

A tout hasard les logs …
Ou est ton proxy ? Es-ce un SQUID ?

Oui mais quels log? je ne vois rien dans syslog de probant

C’est un proxy avec authentification NTLM (professionnel)
Si ça peux aider j’ai également installé Samba sans configuration particulière.

Dans ce cas, avant d’aller plus loin : est-ce que tu utilises Debian en natif sur ton poste ou est-ce que tu as Windows en natif et tu fais tourner Debian dans une machine virtuelle ?

Désolé de ma réponse tardive, mais les pistes de ski se prêtent mal à la pratique de l’informatique (trop de lumière)

C’est une machine en dual-boot, Debian et Windows 7 pro.
Et c’est lorsque je suis sous Linux que Windows est en machine virtuelle.

Il faut que tu regarde du coté de CNTLMpour t’authentifié au près du proxy NTLM.
Regarde cette page pour plus d’info :
michauko.org/blog/2009/02/23/tun … putty-etc/

Merci Mimosa,

avec cntml ca fonctionne parfaitement.
Il n’y a plus de temps de latence de la part d’iceweasel. et je suppose de firefox.

# sudo apt-get install cntlm

puis configuration a l’aide de /etc/cntlm.conf
et ensuite indication du proxy dans les paramétrés du navigateur comme adresse localhost et comme port celui fixe dans le fichier de configuration de cntlm.
ça marche parfaitement.

Pour ma culture personnelle et parce que je suis très curieux:
Est-ce que quelqu’un aurait une explication du pourquoi le paramétrage classique d’un poxy NTLM ca fonction bien sur Ubuntu et beaucoup moins bien sur Debian?

Tu veux dire quoi par "paramétrage classique"
Il suffit qu’il ai installé un composant qui prenne en charge le NTLM, alors que Debian dois te laisser mettre ce que tu souhait sans sortir la machine de guerre.

PS : MimoZa

[quote]et ensuite indication du proxy dans les paramétrés du navigateur comme adresse localhost et comme port celui fixe dans le fichier de configuration de cntlm.
ça marche parfaitement.[/quote]
Il y a mieux et surtout plus propre.

Une fois que CNTLM est correctement installé et configuré, tu peux installer “redsocks” et le configurer pour qu’il utilise CNTLM. Puis tu configures “iptables” pour rerouter tout le traffic TCP vers “redsocks”.
Ainsi toutes tes connexions TCP passeront par CNTLM. Il y a des tuto un peu partout là-dessus.

Le problème néanmoins est que “redsocks” ne laisse passer que le TCP, pas l’UDP, pour des raisons techniques propres au protocole (comme c’est un protocole non connecté il y a des problèmes de reroutage). Donc il faut s’assurer que tu as à disposition un serveur DNS sinon tu devras naviguer avec des adresses IP plutôt qu’avec des noms de domaines… Impossible en pratique, donc le serveur DNS local est obligatoire. Ce n’est pas compliqué à installer et à configurer, vraiment. Il faudra juste bien penser à activer l’option pour que ton serveur DNS se connecte en TCP aux serveurs supérieurs, évidemment, sinon il ne pourra pas se mettre à jour.

Une fois que ton serveur DNS est installé en local tu n’as plus qu’à configurer le serveur DNS local comme étant le serveur DNS primaire de ta connexion.

Et voilà, tout ton système passe par le proxy socks 5 même si les appli n’ont pas cette fonctionnalité ! Non seulement c’est une solution 100% propre, mais en plus c’est ce qu’il y a de plus rapide puisque ton serveur DNS est en local, donc tu passes d’un temps de réponse de disons 25 ms (dans le meilleur des cas sur une connexion sans parefeu, sans proxy ou quoique ce soit d’autre) à moins d’1 ms. Au moins 25 fois moins ce n’est pas rien !! (dans une entreprise on peut facilement atteindre 1 seconde de temps de réponse) De plus il faut savoir qu’un élément d’une page web ne peut rien faire tant que le nom de domaine n’a pas été résolu. Donc si le temps de réponse passe à 1 ou 2 secondes parce que ta connexion a un ralentissement aléatoire ou parce que le proxy+parefeu de ta boîte rament, ton élément mettra 1 ou 2 secondes de plus à s’afficher. Et il y a généralement beaucoup d’élément dans une page web, donc ça raaaaaaame. Alors qu’en mettant ton serveur DNS en local tu es sûr qu’il n’y aura jamais de ralentissement à cause d’un serveur DNS qui met du temps à répondre ! Donc il n’y aura plus que le temps de téléchargement qui sera dépendant de ta connexion. C’est quelque chose qu’on devrait mettre sur tous les ordi je trouve ! Faites le test et vous verrez à quel point les pages peuvent se charger plus vite, c’est parfois assez bluffant. Au boulot où on a une bande passante de fou mais une latence dégueulasse (comme souvent), c’est juste parfait.

@Mimoza Désolé pour le S à la place du Z.

La définition des paramètres manuels du proxy dans la partie des connections réseau de Firefox/Iceweasel (Edition/Préférences/Avancé onglet Réseau bouton Paramètres).
Les paquets cntlm et ntlmaps ne sont même pas suggérer par les navigateurs (pour indiquer ou aller chercher).

Je n’est pas chercher dans la documentation, mais il ne me semble pas que ce soit indiqué dedans.
J’ai une Ubuntu installée. Je l’ai quittée pour Debian, parce qu’avec elle il est possible d’avoir plusieurs version de distribution simultanément, avec le système des préférences d’apt. Je vais essayé de comprendre comment les navigateurs d’Ubuntu peuvent prendre en charge l’authentification NTLM. Si vous avez une piste pour savoir ou commencer?

je pense qu’il serait bien d’avoir une sorte de paquet optionnel des navigateur permettant de gérer les différentes possibilitées de prise en compte de NTLM.
D’autant que c’est un protocole relativement courant dans le monde professionnel. Et que sont absence provoque une impossibilité d’utilisation du navigateur.

Eric

Tu suis ma procédure (qui suit en réalité la façon de fonctionner de NTLM auth puisque c’est censé faire passer toute la session Windows par NTLM auth) et tu n’as plus à te soucier de quoique ce soit au niveau de la compatibilité de tes logiciels.

Ok je vais essayer cette solution.
Merci