forum.opennet.ru - "Squid + Wccp + Cisco" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Squid + Wccp + Cisco"

Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Squid + Wccp + Cisco"	+/–
Сообщение от Ninjatrasher (ok) on 09-Июл-14, 11:00
Добрый день. Моя борьба со сквидом подошла к финалу. Пытаюсь сделать сквид "прозрачным". Для этого при через gre тунель соеденияю сквид и циску и при помощи wccp хочу весь трафик циски передать сквиду. Конфиг тунеля: auto gre1 iface gre1 inet static address 172.18.0.54 netmask 255.255.255.252 modprobe ip_gre up ifconfig gre1 multicast pre-up iptunnel add gre1 mode gre local 172.18.1.49 remote 172.18.1.1 ttl 255 pointopoint 172.18.0.53 post-down iptunnel del gre1 НА этом этапе все замечательно работает. Машина где сквид пингует адрес 0.53, циска пингует адрес 0.54. Часть конфига сквида: http_port 3128 transparent wccp_address 172.18.1.49:3128 wccp2_router 172.18.1.1 wccp2_forwarding_method gre wccp2_return_method gre wccp2_service standard 0 password=cisco Часть конфига циски: ip wccp version 2 ! ip wccp web-cache group-list 10 ! access-list 10 remark ** Defining SQUID Proxy Servers access-list 10 permit 172.18.1.49 access-list 10 permit 172.18.1.47 ! ! ! ip access-list extended SQUID_PROXY deny ip 172.18.0.0 0.0.255.255 any deny ip 172.18.0.0 0.0.255.255 172.18.0.0 0.0.255.255 deny ip 172.18.0.0 0.0.255.255 10.7.0.0 0.0.255.255 permit ip 172.18.2.32 0.0.0.7 any Remark Deny squid server access WCCP ** deny ip host 172.18.1.49 any ! ip wccp web-cache redirect-list SQUID_PROXY ! ! int bvi1 ip wccp web-cache redirect in На этом этапе весь трафик от циски вроде идет к сквиду, но такое чувство, что все таки не идет. Так как ни одно правило сквидгарда не срабатывает. Подскажите пожалуйста, что я забыл или что не так сделал.
Ответить \| Правка \| Cообщить модератору

Оглавление

Squid + Wccp + Cisco, Ninjatrasher, 14:51 , 09-Июл-14, (1)

Squid + Wccp + Cisco, ipmanyak, 15:35 , 15-Июл-14, (2)

Squid + Wccp + Cisco, Ninjatrasher, 13:25 , 16-Июл-14, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Squid + Wccp + Cisco" +/–

Сообщение от Ninjatrasher (ok) on 09-Июл-14, 14:51

>[оверквотинг удален]
> !
> ip wccp web-cache redirect-list SQUID_PROXY
> !
> !
> int bvi1
> ip wccp web-cache redirect in
> На этом этапе весь трафик от циски вроде идет к сквиду, но
> такое чувство, что все таки не идет. Так как ни одно
> правило сквидгарда не срабатывает. Подскажите пожалуйста, что я забыл или что
> не так сделал.
добавил еще в сквид новый порт 3127, для которого указал transparent, конфиг выглядит теперь вот так.
http_port 3128
http_port  3127 transparent
wccp2_router 172.18.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0 password=cisco
в iptables добавил вот такую запись
iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.18.1.49:3127
реакции нет. смотрю по wireshark пакеты не приходят на gre1.
В чем может быть проблема и куда следуюет копать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid + Wccp + Cisco" +/–

Сообщение от ipmanyak (ok) on 15-Июл-14, 15:35

>[оверквотинг удален]
> http_port  3127 transparent
> wccp2_router 172.18.1.1
> wccp2_forwarding_method gre
> wccp2_return_method gre
> wccp2_service standard 0 password=cisco
> в iptables добавил вот такую запись
>  iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp
> --dport 80 -j DNAT --to-destination 172.18.1.49:3127
> реакции нет. смотрю по wireshark пакеты не приходят на gre1.
> В чем может быть проблема и куда следуюет копать?
Сквид какой версии у вас?  И он собран с опцией --enable-wccpv2 ?
два порта в сквиде вы имхо зря замутили, оставьте 3128 и iptables -t nat -A PREROUTING  - уберите.  в iptables вы просто должны разрешить пакеты на нужном интерфейсе, или вообще его отключить, он же у вас в локали.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Squid + Wccp + Cisco" +/–

Сообщение от Ninjatrasher (ok) on 16-Июл-14, 13:25

>[оверквотинг удален]
>>  iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp
>> --dport 80 -j DNAT --to-destination 172.18.1.49:3127
>> реакции нет. смотрю по wireshark пакеты не приходят на gre1.
>> В чем может быть проблема и куда следуюет копать?
> Сквид какой версии у вас?  И он собран с опцией --enable-wccpv2
> ?
> два порта в сквиде вы имхо зря замутили, оставьте 3128 и iptables
> -t nat -A PREROUTING  - уберите.  в iptables вы
> просто должны разрешить пакеты на нужном интерфейсе, или вообще его отключить,
> он же у вас в локали.
покурил мануал http://networklessons.com/network-services/cisco-wccp-squid-...и все получилось, теперь возник другой вопрос, как я понимаю при такой связке ntlm аунтефикация не работает, в логах сквида показывается только ip адрес клиента, но не показывается username. это как я понимаю победить нельзя

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Squid + Wccp + Cisco"	+/–
Сообщение от Ninjatrasher (ok) on 09-Июл-14, 14:51
>[оверквотинг удален] > ! > ip wccp web-cache redirect-list SQUID_PROXY > ! > ! > int bvi1 > ip wccp web-cache redirect in > На этом этапе весь трафик от циски вроде идет к сквиду, но > такое чувство, что все таки не идет. Так как ни одно > правило сквидгарда не срабатывает. Подскажите пожалуйста, что я забыл или что > не так сделал. добавил еще в сквид новый порт 3127, для которого указал transparent, конфиг выглядит теперь вот так. http_port 3128 http_port 3127 transparent wccp2_router 172.18.1.1 wccp2_forwarding_method gre wccp2_return_method gre wccp2_service standard 0 password=cisco в iptables добавил вот такую запись iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.18.1.49:3127 реакции нет. смотрю по wireshark пакеты не приходят на gre1. В чем может быть проблема и куда следуюет копать?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Squid + Wccp + Cisco"	+/–
	Сообщение от ipmanyak (ok) on 15-Июл-14, 15:35
	>[оверквотинг удален] > http_port 3127 transparent > wccp2_router 172.18.1.1 > wccp2_forwarding_method gre > wccp2_return_method gre > wccp2_service standard 0 password=cisco > в iptables добавил вот такую запись > iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp > --dport 80 -j DNAT --to-destination 172.18.1.49:3127 > реакции нет. смотрю по wireshark пакеты не приходят на gre1. > В чем может быть проблема и куда следуюет копать? Сквид какой версии у вас? И он собран с опцией --enable-wccpv2 ? два порта в сквиде вы имхо зря замутили, оставьте 3128 и iptables -t nat -A PREROUTING - уберите. в iptables вы просто должны разрешить пакеты на нужном интерфейсе, или вообще его отключить, он же у вас в локали.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Squid + Wccp + Cisco"	+/–
	Сообщение от Ninjatrasher (ok) on 16-Июл-14, 13:25
	>[оверквотинг удален] >> iptables -t nat -A PREROUTING -i gre1 -p tcp -m tcp >> --dport 80 -j DNAT --to-destination 172.18.1.49:3127 >> реакции нет. смотрю по wireshark пакеты не приходят на gre1. >> В чем может быть проблема и куда следуюет копать? > Сквид какой версии у вас? И он собран с опцией --enable-wccpv2 > ? > два порта в сквиде вы имхо зря замутили, оставьте 3128 и iptables > -t nat -A PREROUTING - уберите. в iptables вы > просто должны разрешить пакеты на нужном интерфейсе, или вообще его отключить, > он же у вас в локали. покурил мануал http://networklessons.com/network-services/cisco-wccp-squid-...и все получилось, теперь возник другой вопрос, как я понимаю при такой связке ntlm аунтефикация не работает, в логах сквида показывается только ip адрес клиента, но не показывается username. это как я понимаю победить нельзя
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору