Proxykonfiguration für Opsiclient

[RobertOpsi]

Edit:
Hallo,

Ich habe das Problem jetzt auf eine Proxykonfiguration runtergebrochen, der Fehler ist genau der wie im log angedeutet, keine Verbindung möglich.

Ich habe mir jetzt in der VM Umgebung eine Proxy installiert und dachte nun es würde reichen, wenn dem Client die Kommunikation über TCP / Port 443 auf die IP des Configservers erlaubt wird über Portmapping. Reicht scheinbar nicht, da der sync Vorgang immernoch scheitert bzw die Clientinstallation an der Authentifizierung scheitert.

Über welches Protokol oder welchen Port versucht der Client den darüberhinaus zu kommunizieren? Das müsste doch eigentlich machbar sein, den Client hinter einem Proxy zu betreiben oder nicht?

Mit freundlichen Grüßen
Robert


Originalpost gekürtzt:

Hallo,

ich habe meinen Opsiserver jetzt an eine seperate Internetleitung gehangen, um das WAN Modul testen zu können für verschiedenste Anwendungen.
Solange ich das auf PC/VMs mache die in unserem Firmennetz hängen, geht das auch alles mittlerweile wunderbar.

Um Opsi und WAN Modul aber produktiv einsetzen zu können, müssen viele verschiedene Konstelleationen für mich versorgbar sein.
Dazu galt es jetzt einen PC einzubinden, der mich nur über Port 80/443 kommunizieren lässt, da die restlichen Ports geblockt sind.

Die Clientsoftwareverteilung über cifs geht also nicht, dazu habe ich den gesamten opsi-client-agent Ordner gezippt und per Teamviewer verschickt.
In der Test-VM lief die Installation des Opsi-Clients über diese Methode reibungslos.

Auf dem Remote-Testpc hingegen scheitert es an der Authentifikation am Opsiserver, der Prompt mit dem Adminuser kommt immer wieder und trotz richtiger IP/Port sowie Benutername/Passwort Kombination ist ein einbinden des PCs nicht möglich.

Mit freundlichen Grüßen
Robert

[n.wenselowski]

Hallo Robert,

wie wird der Auth am Proxy gemacht?
Mit 4.0.5 geht ein Fix live, der Adressen lowercase gemacht hat, was bei Proxy-Anmeldungen zu einem Problem führen konnte, wenn das Passwort große Buchstaben enthielten.

Bekommt der Client die entsprechenden Daten, um sich zum Opsi-Server zu verbinden?

Per Default wird mittels Port 4441/4447 TCP kommuniziert, PXE läuft über Port 69 UDP.

Ansonsten die dringende Empfehlung einen Support-Vertrag abzuschließen. Wir bieten sogar speziell vergünstigten und zeitlich begrenzten Einführungssupport an.


Gruß

Niko

[RobertOpsi]

Hallo Niko,

ich mache die Produkteval im Rahmen meines Praktikums, da gibts leider erst Geld für das Projekt, wenn ich sagen kann das läuft und die Anforderungen sind erfüllbar. Für einen Supportvertrag wäre ich sehr dankbar, aber zum jetztigen Zeitpunkt wird das leider nichts.

Ich habe den Client soweit, das er mit dem Server kommunizieren kann, der Proxy in meiner Testumgebung erfordert erstmal keine Authentifizierung, das wäre erst später dran zu testen, wenn ich die Softwareverteilung ohne auth umsetzen konnte. Habe dafür 2 verschiedene Proxyserver getestet und bei beiden hängt es an der Verteilung der eigentlichen Software.

Wenn ich bei der Auslieferung des Clients die Config_service.url auf die IP Adresse des Proxys ändere und dort das Portmapping aktiviere, kann ich den Client in den Opsi Server einbinden und die Kommunikation funktioniert solange bis ich tatsächlich Software über das WAN Modul verteilen möchte.

Kann man eine für den Client spezifische Repository Adresse angeben? Er versucht über die vom Server zu gehen, die lässt ihn aber nicht durch den Proxy, dazu muss ersatzweise die Adresse vom Proxy eingetragen werden (denke ich?).

Code: Alles auswählen

[2] [Jun 04 11:08:52] [ product cache service         ] Traceback:   (Logger.pyo|754)
[2] [Jun 04 11:08:52] [ product cache service         ]      line 936 in 'download' in file 'OPSI\Util\Repository.pyo'   (Logger.pyo|754)
[2] [Jun 04 11:08:52] [ product cache service         ]      line 904 in 'endheaders' in file 'httplib.pyo'   (Logger.pyo|754)
[2] [Jun 04 11:08:52] [ product cache service         ]      line 776 in '_send_output' in file 'httplib.pyo'   (Logger.pyo|754)
[2] [Jun 04 11:08:52] [ product cache service         ]      line 735 in 'send' in file 'httplib.pyo'   (Logger.pyo|754)
[2] [Jun 04 11:08:52] [ product cache service         ]      line 1108 in 'connect' in file 'httplib.pyo'   (Logger.pyo|754)
[2] [Jun 04 11:08:52] [ product cache service         ]      line 514 in 'create_connection' in file 'socket.pyo'   (Logger.pyo|754)
[2] [Jun 04 11:08:52] [ product cache service         ]      ==>>> [Errno 10060] Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat   (Repository.pyo|970)

Kann man irgendwie in die Skripte reinschauen, damit man sieht was er da gerade versucht zu verarbeiten? Für mich sind Proxies allgemein Neuland und das macht es nicht einfach, wenn man nur mit Try&Error im Dunkeln stochert.

Edit:
Ich habe die Skripte jetzt gefunden und in dem vom Logfile zitierten Skript auch einen Eintrag self._proxy gefunden, wo kann man den denn mitgeben? Im moment versuche ich ja mehr recht als schlecht die Aufgabe der Proxyverwaltung an den Proxy selbst abzutretten, aber Opsi bringt da ja scheinbar selbst etwas mit?


Mit freundlichen Grüßen
Robert

[RobertOpsi]

Hallo

wenn ich eine Zusatzsoftware nehme (in meinem Fall habe ich Proxifier genommen), kann der Client der in den OpsiServer eingebunden werden soll durch den Proxy kommunizieren. Solange im System aber ein Proxy definiert ist, sollte sich der Opsi Client doch eigentlich die Informationen dort holen und diese dann benutzen?

Am Proxy ist keine Authentifizierung notwendig, also sollte nach meinem Verständnis die Kommunikation ohne weiteres möglich sein.

Ohne diese Umleitung des winst32/opsiclientd Traffics mit Proxifier, komme ich nicht zum Opsi-Server und das einbinden des Clients scheitert an der Eingabemaske für Benutzername/Password eines Opsi-admin Benutzers.

Mit freundlichen Grüßen
Robert