none
Setting up WPAD and DHCP RRS feed

  • Discussione generale

  • Hi all, I'm new of the forum.

    I need to set up WPAD and DHCP in order to autoconfigure browsers client (IE and Firefox) with web proxy configuration.

    I'm using Windows 2003 Server R2 and I've followed this 2 guide: http://findproxyforurl.com/wpad_tutorial.html and http://www.mattscott.org/index.php/2008/05/28/automatic-proxy-detectionwpaddat/ but thet fail.

    It seems that DHCP Server don't release 252 option beacuse I don't see any access to file wpad.dat located into a different server (linux server).

    Any ideas?

     

    Thanks to all!!

    martedì 12 luglio 2011 14:03

Tutte le risposte

  • puoi scrivere pure in italiano.

    hai provato a spostare il file wpad.dat sul domain controller windows ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 12 luglio 2011 14:23
    Moderatore
  • puoi scrivere pure in italiano.

    hai provato a spostare il file wpad.dat sul domain controller windows ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    Scusami, pensavo di essere sui forum in inglese...

    Sul DC non ho un web server e non era mia intenzione installarlo solo per questo scopo, dato che ne ho già altri installati e funzionanti su altri servers.

    Ho fatto una scansione con Wireshark e sembra proprio che il DHCP non rilasci la fantomatica opzione 252, credo che il nodo della faccenda stia lì...

    martedì 12 luglio 2011 14:31
  • Sul DC non ho un web server e non era mia intenzione installarlo solo
    per questo scopo, dato che ne ho già altri installati e funzionanti su
    altri servers.

    Beh, considera che WPAD ha bisogno di un webserver per funzionare;
    l'idea è che il client riceva l'indirizzo di tale server tramite DHCP (o
    tramite query DNS) e che poi contatti il webserver "WPAD" per prelevare
    il file di autoconfigurazione del proxy; come credo sia chiaro, senza un
    webserver che fornisca tale file, il tutto non funzionerà

    Ovvio che il webserver in questione NON deve necessariamente essere lo
    stesso server (DHCP o DNS) che fornisce le informazioni relative
    all'indirizzo del WPAD ma potrà essere un qualsiasi altro server situato
    sulla rete

    martedì 12 luglio 2011 14:54
  • Forse non sono stato chiaro: wpad.dat è su un server linux (Ubuntu 10.04 Server) su cui è installato Apache2; wpad.dat è dunque raggiungibile in http sul server linux, tant'è che se dato in pasto direttamente a Firefox (Opzioni -> Avanzate -> Rete -> Impostazioni -> Configurazione Automatica dei proxy (URL) http://ip_server_linux/wpad.dat ) il tutto funziona.
    martedì 12 luglio 2011 15:04
  • Forse non sono stato chiaro: wpad.dat è su un server linux (Ubuntu 10.04Server) su cui è installato Apache2; wpad.dat è dunque raggiungibile in http sul server linux, tant'è che se dato in pasto direttamente a Firefox (Opzioni -> Avanzate -> Rete -> Impostazioni -> Configurazione Automatica dei proxy (URL) http://ip_server_linux/wpad.dat ) il tutto funziona.

    Beh, a questo punto credo che tutto ciò che ti resta da fare sia configurare il DNS o il DHCP in modo che l'host di nome "wpad.tuodominio.xyz" punti al webserver (linux) nella cui root è stato copiato il file "wpad.dat" (e che spero sia configurato per rispondere correttamente a tali richieste - es. host header, file nella root etc..)

    Per quanto riguarda la creazione della voce in DHCP/DNS, vedi qui

    http://technet.microsoft.com/en-us/library/cc940962%28WS.10%29.aspx

    http://technet.microsoft.com/en-us/library/cc713344.aspx

    http://support.microsoft.com/kb/934864


    martedì 12 luglio 2011 15:30
  • Beh, a questo punto credo che tutto ciò che ti resta da fare sia configurare il DNS o il DHCP in modo che l'host di nome "wpad.tuodominio.xyz" punti al webserver (linux) nella cui root è stato copiato il file "wpad.dat" (e che spero sia configurato per rispondere correttamente a tali richieste - es. host header, file nella root etc..)

    Per quanto riguarda la creazione della voce in DHCP/DNS, vedi qui

    http://technet.microsoft.com/en-us/library/cc940962%28WS.10%29.aspx

    http://technet.microsoft.com/en-us/library/cc713344.aspx

    http://support.microsoft.com/kb/934864


    Infatti, è stata la mia prima richiesta di aiuto (vedi il mio primo post), forse avendola scritta in inglese (errore mio) è passata inosservata.

    Sto facendo delle prove in un ambiente di test, il problema sembra risolversi mettendo il nome dell'opzione 252 del server DHCP tutto in mauiscolo, cioè WPAD; nei prossimo giorni farò ulteriori prove e vi saprò dire con certezza.

     

    Grazie

    mercoledì 13 luglio 2011 09:46
  • Come non detto.

    Dai test eseguiti funziona l'autoconfigurazione tramite DNS (creando una entry nel server DNS wpad.domain.it che punti al server linux) ma quella DHCP no.

    Il sintomo sembra essere che il server DHCP non passi l'opzione 252 al client.

    Qualche idea come fare un po' di debug?

    mercoledì 13 luglio 2011 16:03
  • Il sintomo sembra essere che il server DHCP non passi
    l'opzione 252 al client.

    Sei sicuro di aver creato la "custom option" 252 nel DHCP ?

    Qualche idea come fare un po' di debug?

    potresti attivare il logging del DHCP e/o usare uno sniffer

    mercoledì 13 luglio 2011 16:13
  • Sei sicuro di aver creato la "custom option" 252 nel DHCP ?

    Ecco quello che ho fatto:

    1- Aperto il pannello di gestione Server DHCP: Start -> Porgrammi -> Strumenti di amministrazione -> DHCP

     

    2- Click destro su dhcp.company.it [172.16.200.14] (il server DHCP) -> Definisci opzioni predefinite -> Aggiungi (Classe opzione: Opzioni standard DHCP)

    Nome: WPAD

    Tipo dati: Stringa

    Codice: 252

    Descrizione: AutoProxy

    Valore Stringa: http://172.16.200.5/wpad.dat

     

    3- Click destro su Opzioni Ambito -> Configura Opzioni -> Avanzate

    Classe Fornitore: Opzioni standard DHCP

    Classe Utente: Classe utente predefinita

    [X] 252 WPAD (spunta sull'opzione)

     

    4- Riavvio del servizio di Server DHCP

     

    potresti attivare il logging del DHCP e/o usare uno sniffer

    Ok per lo sniffer, solitamente uso Wireshark.

    Logging del DHCP: intendi lato Sever o lato Client? In entrambi i casi, come fare per abilitarlo?

     

    Grazie ancora.


    giovedì 14 luglio 2011 07:24
  • qui: http://img199.imageshack.us/img199/9144/dhcpl.png lo screenshot dello sniffing... mi sembra che dell'opzione 252 non ce n'è traccia, o mi sbaglio?
    giovedì 14 luglio 2011 08:01
  • L'opzione 252 del DHCP di fatto viene ignorata da Windows 7, lo puoi vedere dallo sniffer.

    Ti suggerisco di configurare il DNS dato che (se non ricordo male) l'opzione 252 funzionerebbe solo con i client windows.

    Se utilizzi il DNS di Windows Server 2008 ricorda di rimuovere WPAD dalla Dns Block List.

    HTH

     

     

     


    Andrea Gallazzi
    http://www.andreagallazzi.com
    This posting is provided "AS IS" with no warranties, and confers no rights.
    giovedì 14 luglio 2011 08:10
  • L'opzione 252 del DHCP di fatto viene ignorata da Windows 7, lo puoi vedere dallo sniffer.

     

    Il test che ho fatto è con Windows XP Professional SP3. Dallo sniffer leggerei invece che l'opzione 252 non è manco arrivata, non tanto che il client l'ha ignorato, o mi sbaglio?

     

    Ti suggerisco di configurare il DNS dato che (se non ricordo male) l'opzione 252 funzionerebbe solo con i client windows.

    Se utilizzi il DNS di Windows Server 2008 ricorda di rimuovere WPAD dalla Dns Block List.

    Ok, ottimi suggerimenti.

    giovedì 14 luglio 2011 08:20
  • Valore Stringa: http://172.16.200.5/wpad.dat
    Anche se non dovrebbe cambiar nulla, usa il formato suggerito nell'articolo che ho postato; ossia il formato http://server:porta/wpad.dat
    Logging del DHCP: intendi lato Sever o lato Client? In entrambi i casi, come fare per abilitarlo?

    mi riferivo al logging lato server, trovi l'opzione nella console di gestione DHCP

    Come ulteriore nota, il WPAD è un protocollo obsoleto, la relativa RFC è "scaduta" nel 1999 senza essere approvata, per cui, nonostante diversi browsers continuino a supportarlo non c'è garanzia che, in futuro, il supporto continuerà ad esistere; per ulteriori informazioni vedi qui

     

    giovedì 14 luglio 2011 09:38
  • Anche se non dovrebbe cambiar nulla, usa il formato suggerito nell'articolo che ho postato; ossia il formato http://server:porta/wpad.dat

     

    Non funziona lo stesso.

     

    mi riferivo al logging lato server, trovi l'opzione nella console di gestione DHCP

     

    Anche nei log non c'è traccia...

    L'autoconfigurazione funziona però con il metodo del DNS, quindi credo che mi butterò su quello

     

    Come ulteriore nota, il WPAD è un protocollo obsoleto, la relativa RFC è "scaduta" nel 1999 senza essere approvata, per cui, nonostante diversi browsers continuino a supportarlo non c'è garanzia che, in futuro, il supporto continuerà ad esistere; per ulteriori informazioni vedi qui

     

    Domanda stupida: se non WPAD cos'altro si può/potrà utilizzare dunque?

    giovedì 14 luglio 2011 12:40
  • Domanda stupida: se non WPAD cos'altro si può/potrà utilizzare dunque?

    Beh.... cosa ne dici di "transparent proxy" o, in alternativa "captive portal" ;-) ?

     

    giovedì 14 luglio 2011 12:43
  • Beh.... cosa ne dici di "transparent proxy" o, in alternativa "captive portal" ;-) ?

     

    Il primo sarebbe un'ottima idea, SE il proxy e il gateway coincidessero, ma al momento nell'azienda presso cui lavoro non è così e probabilmente non lo sarà per moooolto tempo.

    Con il captive portal invece leggo che non è così facile automatizzare l'autenticazione o il SSO, e poi sembra facilmente bypassabile (http://it.wikipedia.org/wiki/Captive_portal#Limitazioni).


    giovedì 14 luglio 2011 12:49
  • Il primo sarebbe un'ottima idea, SE il proxy e il gateway coincidessero, ma al momento nell'azienda presso cui lavoro non è così e probabilmente non lo sarà per moooolto tempo.

    Con il captive portal invece leggo che non è così facile automatizzare l'autenticazione o il SSO, e poi sembra facilmente bypassabile (http://it.wikipedia.org/wiki/Captive_portal#Limitazioni).


    Non è un gran problema, ci sono modi per risolverlo e, del resto, nessuno ha mai detto che il proxy ed il gateway debbano coincidere, certo, POSSONO coincidere ma non necessariamente debbono coincidere, basta che il gateway sia configurato in modo da rifiutare tutto il traffico gestito dal proxy, permettendolo solo a quest'ultimo (poi ok, avere proxy e gw allo stesso IP semplifica le cose, ma, come ho già scritto, non è obbligatorio)

    Riguardo il captive portal... si, se MAL configurato può essere bypassabile, ma per farlo uno deve mettercisi d'impegno, specie con le ultime versioni ... ed in qualsiasi caso, se il "CP" è configurato per benino (ossia agisce anche su NAT e routing non sul solo traffico "web") la vedo dura bypassarlo ;)

     

    giovedì 14 luglio 2011 13:37
  • Non è un gran problema, ci sono modi per risolverlo e, del resto, nessuno ha mai detto che il proxy ed il gateway debbano coincidere, certo, POSSONO coincidere ma non necessariamente debbono coincidere, basta che il gateway sia configurato in modo da rifiutare tutto il traffico gestito dal proxy, permettendolo solo a quest'ultimo (poi ok, avere proxy e gw allo stesso IP semplifica le cose, ma, come ho già scritto, non è obbligatorio)

     

    Probabilmente non ho spiegato nei dettagli lo scenario: per quanto riguarda le postazioni fisse (le workstation) dei dipendenti, tutti i santi aiutano, il problema di pone per i portatili dei dipendenti e dei clienti che occasionalmente vengono in azienda; dato che per questi ultimi non posso impostare una regola fissa (che sia in AD o in locale) come per le wokstation, devo fare in modo che il proxy se lo trovino "da soli"; al momento il proxy non coincide con il gateway e come dicevo prima, sarà così per molto, quindi la soluzione del proxy trasparente salta (ahimè).

     

    Riguardo il captive portal... si, se MAL configurato può essere bypassabile, ma per farlo uno deve mettercisi d'impegno, specie con le ultime versioni ... ed in qualsiasi caso, se il "CP" è configurato per benino (ossia agisce anche su NAT e routing non sul solo traffico "web") la vedo dura bypassarlo ;)

     

    Per quanto riguarda invece il CP, non voglio che ogni n minuti/ore/giorni gli utenti delle workstation debbano inserirei le credenziali per autenticarsi alla navigazione.

    A parer mio la soluzione migliore sarebbe il proxy trasparente, ma non posso implementarlo, quindi credo mi butterò su l'autoconfigurazione tramite DNS.

    Grazie del supporto a tutti!!!!

    giovedì 14 luglio 2011 16:04

  • Probabilmente non ho spiegato nei dettagli lo scenario: per quanto riguarda le postazioni fisse (le workstation) dei dipendenti, tutti i santi aiutano, il problema di pone per i portatili dei dipendenti e dei clienti che occasionalmente vengono in azienda; dato che per questi ultimi non posso impostare una regola fissa (che sia in AD o in locale) come per le wokstation, devo fare in modo che il proxy se lo trovino "da soli"; al momento il proxy non coincide con il gateway e come dicevo prima, sarà così per molto, quindi la soluzione del proxy trasparente salta (ahimè).

    Non necessariamente; tra l'altro nel caso di accessi da parte di "esterni", sarebbe opportuno configurare la rete in modo che tali macchine abbiano accesso ristretto ad una VLAN e che il gateway sia configurato per offrire accesso diretto (ok, filtrato come necessario) da tale VLAN ad internet; in tal modo i sistemi "esterni" potranno avere accesso ad internet ed allo stesso tempo un eventuale sistema "infetto" non comprometterà la rete
    Per quanto riguarda invece il CP, non voglio che ogni n minuti/ore/giorni gli utenti delle workstation debbano inserirei le credenziali per autenticarsi alla navigazione.
    E se invece di CP valutassi l'implementazione di ForeFront TMG ?

    A parer mio la soluzione migliore sarebbe il proxy trasparente, ma non posso implementarlo, quindi credo mi butterò su l'autoconfigurazione tramite DNS.


    Guarda che usando FF-TMG avresti la possibilità di fare "transparent proxy" ... ed altro :D

     

    giovedì 14 luglio 2011 16:16