[RESOLU] Problème de firewall

Sovince · 2013-11-06 17:08:01

Bonjour,

Avant toute chose, merci pour cette application fantastique que j'utilise quotidiennement, et qui colle aux besoins que j'en ai.
Sans entrer dans les détails et risquer de vous endormir, je dirai simplement que cette application a remplacé un tas de fichiers excel en y apportant une valeur ajoutée considérable. J'utilise GLPI avec le plugin FusionInventory depuis un peu moins de 2 ans pour un parc d'environ 200 PC sous windows, des téléphones fixes, mobiles, DECT, etc...

Bref, voilà pour la petite histoire, j'en viens à mon problème.

J'ai récemment mis à jour GLPI en 0.84.2 ainsi que les agents FusionInventory des postes windows, restés jusqu'ici en version 2.2.7-4. À noter que les agents sont déployés par GPO + script VBS et que la mise à jour se fait correctement.
Le changement de version la 2.2.7-4 vers la 2.3.2 a imposé quelques modifications sur les variables passées dans le script vbs mais rien de bien compliqué en lisant correctement la doc disponible avec l'agent.

Seulement voilà, même si l'inventaire se fait correctement et que les infos remontent bien dans GLPI, impossible d'agir sur l'agent depuis l'interface GLPI !
Dans état de l'agent, j'ai "statut : impossible de joindre l'agent". Je ne peux donc pas forcer l'inventaire ni utiliser mes agents pour des découvertes snmp ou autre.

Je suis surpris parce qu'avec la version 2.2.7-4, ça fonctionnait...
Pour info, voilà les paramètres passés par le script vbs :

versionverification = "2.3.2" 
fusionarguments = "/S /acceptlicense /ttpd-trust='liste_d'adresses_ip' /add-firewall-exception /execmode=Service /no-start-menu /server='http://mon_serveur_glpi/glpi/plugins/fusioninventory/' /runnow" 
fusionsetupURL = "\\serveur\repertoire_partage\Installation - FusionAgent\fusioninventory-agent_windows-x86_" & versionverification & ".exe"

à noter qu'il y a un "h" avant "ttpd-trust", mais j'ai pas pu le mettre pour créer ce sujet car sinon j'ai un "too more links in this message"
Je vous met pas la suite, le script est celui qui est écrit sur le site de fusioninventory.

Pour éviter d'ouvrir un sujet en demandant la solution toute cuite :

je pense que le problème vient de la commande /add-firewall-exception : lorsque je crée une exception TCP entrante sur le firewall, tout rentre dans l'ordre, je retrouve le bouton "forcer l'inventaire".
Avec la version 2.2.7-4, j'utilisais le paramètre /update-firewall qui fonctionnait très bien. Le passage à la version 2.3.x implique d'utiliser /add-firewall-exception à la place mais ça n'a pas l'air de fonctionner.

Je sais qu'il est possible d'ajouter une exception au firewall de mes pc via une GPO qui-va-bien mais pourquoi faire du bidouillage alors que l'agent FusionInventory était capable de le faire jusqu'à présent ?
Comment faire en sorte que /add-firewall-exception fonctionne ?

Last edited by Sovince (2013-11-07 15:43:36)

ddurieux · 2013-11-06 17:27:55

T'as vérifié que ton firewall laisse passer le port 62354?

Sovince · 2013-11-06 17:50:20

Merci pour ta réponse et pour l'intérêt porté à mon post.

Donc oui, j'ai vérifié, et la réponse est non, le firewall le bloque.
Comme je le disais dans mon 1er message, si j'ajoute une exception TCP entrante du port 62354 sur le firewall de windows, ça fonctionne.
Dès que je retire l'exception, ça ne fonctionne plus.

Petite précision : je n'utilise pas d'autre firewall, uniquement celui fourni avec windows.

Avec la version de l'agent 2.2.7-4, le paramètre /update-firewall ajoute correctement l'exception du port 62354, mais avec la version 2.3.2, le paramètre /add-firewall-exception ne me crée rien du tout. Du coup, si je crée pas l'exception du firewall à la main, le serveur GLPI n'arrive plus à atteindre les agents. Par contre l'agent arrive toujours à joindre le serveur puisque mes inventaires remontent correctement.

Cause probable : un bug de l'installeur de la version 2.3.2 qui ne tient pas compte du paramètre /add-firewall-exception ?

Last edited by Sovince (2013-11-06 17:52:57)

Sovince · 2013-11-07 15:41:34

Je me réponds à moi-même car j'ai opté pour une autre solution, vu que le paramètre add-firewall-exception ne fonctionne pas.
Ci-dessous un copier/coller de mon post sur le forum de fusioninventory.

______________________

Merci pour ta réponse.

J'ai consulté ton lien et oh rage, oh désespoir, ça fait presque 6 mois que le ticket est ouvert et est repoussé régulièrement...
Son statut est même passé de version cible 2.3.2 à unplanned yet...
Bref, rien de très encourageant...

Bon, plutôt que de revenir sur la version 2.2.7-4 ou d'attendre bêtement un correctif "unplanned", j'ai opté pour une autre solution, que je poste ici avec l'espoir qu'elle aidera quelqu'un dans la même situation.
Et puis disons que j'aurai la joie d'apporter ma brique à ce projet.

J'ai donc modifié le script vbs de déploiement pour qu'il ouvre le port TCP 62354. Ainsi, pas de nouvelle GPO à créer, tout se fait avec le script d'install.

Voici les commandes :
pour du windows vista, windows 7, server 2008 : netsh advfirewall firewall add rule name="FusionInventory" dir=in action=allow protocol=TCP localport=62354 profile=domain remoteip="192.168.0.1,192.168.0.2"
ou pour du windows XP : netsh firewall add portopening protocol=TCP port=62354 name="FusionInventory" mode=ENABLE scope=CUSTOM addresses="192.168.0.1, 192.168.0.2" profile=Domain

L'explication des paramètres se trouve facilement grâce à google.

En tout cas, bonne continuation aux développeurs, votre appli n'est peut-etre pas parfaite mais elle nous rend bien des services !

Forum GLPI-Project

Announcement

#1 2013-11-06 17:08:01

[RESOLU] Problème de firewall

#2 2013-11-06 17:27:55

Re: [RESOLU] Problème de firewall

#3 2013-11-06 17:50:20

Re: [RESOLU] Problème de firewall

#4 2013-11-07 15:41:34

Re: [RESOLU] Problème de firewall

Board footer