URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 232
[ Назад ]

Исходное сообщение
"2911 и прозрачное прксирование squid"

Отправлено kolka88 , 24-Окт-12 15:43 
Доброго времени суток ув. форумчане. В общем описываю проблему с которой столкнулся, сильно прошу не пинать так как опыта пока маловато...

имею 2 циски 2911 и 1841 между ними настрое gre+ospf+ipsec все в принципе работает. Недавно возникла потребность проксировать траффик и у себя и на удаленном участке. Собственно есть прокси squid под win server 2008, если я допустим прописываю вручную в браузере прокси на удаленной машине оно работает, но мы же все понимаем что это нето, нужно прозрачное проксирование. Подскажите кто имел дело с данными настройками? Очень нужна помощь, не могу понять что конкретно надо сделать, почитал по просторам в основном описывают схему с linux, но не охото если честно ставить отдельную машину под прокси и настраивать там еще и gre и т д. Все таки cisco,может есть способ форвадить траффик http на прокси без Linux? Надеюсь на вашу помощь! да забыл сказать что http запросы надо направлять и с удаленного участка на мой прокси.


Содержание

Сообщения в этом обсуждении
"2911 и прозрачное прксирование squid"
Отправлено kolka88 , 25-Окт-12 16:48 
>[оверквотинг удален]
> если я допустим прописываю вручную в браузере прокси на удаленной машине
> оно работает, но мы же все понимаем что это нето, нужно
> прозрачное проксирование. Подскажите кто имел дело с данными настройками? Очень нужна
> помощь, не могу понять что конкретно надо сделать, почитал по просторам
> в основном описывают схему с linux, но не охото если честно
> ставить отдельную машину под прокси и настраивать там еще и gre
> и т д. Все таки cisco,может есть способ форвадить траффик http
> на прокси без Linux? Надеюсь на вашу помощь! да забыл сказать
> что http запросы надо направлять и с удаленного участка на мой
> прокси.

Доброго времени суток уважаемые форумчане, а также гуру мегаустройств cisco . Прошу вашей помощи вот в чем. Кто нибудь настраивал связку Cisco+WCCP+SQUID? То есть в сети очень много материала в связках с unix системами, у меня немного иная ситуация squid стоит на Win 2008. Так вот к чему я веду. есть 2 циски между ними gre-ospf-ipsec, осталось все прозрачно проксировать, и тут я встал колом... то есть имею такой конфиг циски что касаемо wccp:
ip wccp version 1
ip wccp web-cache redirect-list WCCP_Redirect

interface GigabitEthernet0/1
description Uplink-to-localnet
ip address 192.168.1.3 255.255.255.0
no ip proxy-arp
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto

ip access-list extended WCCP_Redirect
permit tcp 192.168.1.0 0.0.0.255 any eq www

Со стороны SQUIDa включено следующее:
wccp_router 192.168.1.3
wccp_version 1

В принципе все. При просмотре sh ip wccp имею:
Global WCCP information:
Router information:
Router Identifier: 192.168.1.3
Protocol Version: 1.0

Service Identifier: web-cache
Number of Service Group Clients: 0
Number of Service Group Routers: 1
Total Packets s/w Redirected: 0
Process: 0
CEF: 0
Redirect Access-list: WCCP_Redirect
Total Packets Denied Redirect: 0
Total Packets Unassigned: 0
Group Access-list: -none-
Total Messages Denied to Group: 0
Total Authentication failures: 0

то есть где то что то я не донастроил!. Уважаемы форумчане помогите утопающему, так как впереди подключение еще кучи точек и хотелось бы всех собрать на свой прокси! Заранее благодарен.
ЗЫ. Забыл добавить, схему пытаюсь собрать сначала у себя а затем проключать буду остальные узлы. Спасибо.


"2911 и прозрачное прксирование squid"
Отправлено fantom , 25-Окт-12 16:58 
>[оверквотинг удален]
>  Total Packets Denied Redirect: 0
>  Total Packets Unassigned: 0
>  Group Access-list: -none-
>  Total Messages Denied to Group: 0
>  Total Authentication failures: 0
>  то есть где то что то я не донастроил!. Уважаемы форумчане
> помогите утопающему, так как впереди подключение еще кучи точек и хотелось
> бы всех собрать на свой прокси! Заранее благодарен.
>  ЗЫ. Забыл добавить, схему пытаюсь собрать сначала у себя а затем
> проключать буду остальные узлы. Спасибо.

http://www.cisco.com/en/US/docs/ios/12_2/configfun/configura...


"2911 и прозрачное прксирование squid"
Отправлено kolka88 , 25-Окт-12 17:22 
>[оверквотинг удален]
>>  Total Packets Unassigned: 0
>>  Group Access-list: -none-
>>  Total Messages Denied to Group: 0
>>  Total Authentication failures: 0
>>  то есть где то что то я не донастроил!. Уважаемы форумчане
>> помогите утопающему, так как впереди подключение еще кучи точек и хотелось
>> бы всех собрать на свой прокси! Заранее благодарен.
>>  ЗЫ. Забыл добавить, схему пытаюсь собрать сначала у себя а затем
>> проключать буду остальные узлы. Спасибо.
> http://www.cisco.com/en/US/docs/ios/12_2/configfun/configura...

Спасибо, но я как раз по тому мануалу и делал... а результата нет.


"2911 и прозрачное прксирование squid"
Отправлено crash , 26-Окт-12 06:51 
http://wiki.squid-cache.org/Features/Wccp
посмотрите примеры и главное вот это:

Replace 150 with an access list number (either standard or extended) which lists IP addresses which you do not wish to be transparently redirected to your cache.

If you wish to redirect all client traffic then remove the:

ip wccp web-cache redirect-list


"2911 и прозрачное прксирование squid"
Отправлено kolka88 , 26-Окт-12 09:38 
> http://wiki.squid-cache.org/Features/Wccp
> посмотрите примеры и главное вот это:
> Replace 150 with an access list number (either standard or extended) which
> lists IP addresses which you do not wish to be transparently
> redirected to your cache.
> If you wish to redirect all client traffic then remove the:
> ip wccp web-cache redirect-list

Хорошо, редирект лист я убрал.+ как и сказано сделал wccp2 версию, это для мультироутер. Но теперь по команде sh ip wccp он выдает след:
Global WCCP information:
    Router information:
        Router Identifier:                   -not yet determined-
        Protocol Version:                    2.0

    Service Identifier: web-cache
        Number of Service Group Clients:     0
        Number of Service Group Routers:     0
        Total Packets s/w Redirected:        0
          Process:                           0
          CEF:                               0
        Service mode:                        Open
        Service Access-list:                 -none-
        Total Packets Dropped Closed:        0
        Redirect Access-list:                -none-
        Total Packets Denied Redirect:       0
        Total Packets Unassigned:            0
        Group Access-list:                   -none-
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total GRE Bypassed Packets Received: 0
То есть вообще что роутер идентифиер не определен...
Конфиг щас такой:
ip wccp web-cache

interface GigabitEthernet0/1
description Uplink-to-localnet
ip address 192.168.1.3 255.255.255.0
no ip proxy-arp
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto

в сквиде проставил wccp_router
и wccp_version

Пробовал и 1 весрию и вторую в Общем никак оно не видится... Наверно все таки попробую редиректить через route-map единственно надо разобраться как порт подменить 80 на 3128 соответственно.. Спасибо за ответ!.


"2911 и прозрачное прксирование squid"
Отправлено AlexDv , 26-Окт-12 12:57 
>>[оверквотинг удален]
> Доброго времени суток уважаемые форумчане, а также гуру мегаустройств cisco . Прошу
> вашей помощи вот в чем. Кто нибудь настраивал связку Cisco+WCCP+SQUID? То
> есть в сети очень много материала в связках с unix системами,
> у меня немного иная ситуация squid стоит на Win 2008. Так

Когда я интересовлся вопроосом несколько лет назад ситуация была такая - Windows не поддерживал GRE-туннели, следовательно работать оно не может. Кто в курсе, поправтьте, поменялось-ли что-то в новых версиях Win-систем?



"2911 и прозрачное прксирование squid"
Отправлено kolka88 , 26-Окт-12 21:35 
>>>[оверквотинг удален]
>> Доброго времени суток уважаемые форумчане, а также гуру мегаустройств cisco . Прошу
>> вашей помощи вот в чем. Кто нибудь настраивал связку Cisco+WCCP+SQUID? То
>> есть в сети очень много материала в связках с unix системами,
>> у меня немного иная ситуация squid стоит на Win 2008. Так
> Когда я интересовлся вопроосом несколько лет назад ситуация была такая - Windows
> не поддерживал GRE-туннели, следовательно работать оно не может. Кто в курсе,
> поправтьте, поменялось-ли что-то в новых версиях Win-систем?

Огромное спасибо за ответы. Но скорее всего прийдется воткнуть какую-нибудь фряху и все. Даже если разруливать через route-map все равно надо порт подменять с 80 на мой прозрачный. В общем тему можно закрыть...


"2911 и прозрачное прксирование squid"
Отправлено kolka88 , 27-Окт-12 14:04 
>[оверквотинг удален]
>>> Доброго времени суток уважаемые форумчане, а также гуру мегаустройств cisco . Прошу
>>> вашей помощи вот в чем. Кто нибудь настраивал связку Cisco+WCCP+SQUID? То
>>> есть в сети очень много материала в связках с unix системами,
>>> у меня немного иная ситуация squid стоит на Win 2008. Так
>> Когда я интересовлся вопроосом несколько лет назад ситуация была такая - Windows
>> не поддерживал GRE-туннели, следовательно работать оно не может. Кто в курсе,
>> поправтьте, поменялось-ли что-то в новых версиях Win-систем?
> Огромное спасибо за ответы. Но скорее всего прийдется воткнуть какую-нибудь фряху и
> все. Даже если разруливать через route-map все равно надо порт подменять
> с 80 на мой прозрачный. В общем тему можно закрыть...

Уважаемые форумчане прошу снова помощи. В общем настроил я wccp+squid+cisco работает, но возникла проблема следующего рода. Когда в браузере набираешь сайт, затем ентер то очень долго происходит загрузка, то есть получается сам сайт грузится быстро, но он очень долго ищется в интернете что ли, как то так, по другому не могу обяснить... Если что нужно вы скажите предоставлю. Пока выкладываю то что есть на циске, freebsd (работает на виртуалке) ну и собственно сквид. Причем такая проблема наблюдается когда есть ip wccp web-cache redirect-list list, если я это убираю то все отлично летает.

Cisco


service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!

!
boot-start-marker
warm-reboot
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 5 123
!
no aaa new-model

no ipv6 cef
ip source-route
ip cef
!
!
!
!
!
no ip domain lookup
ip domain name xxxx
ip wccp web-cache redirect-list 101

username 1 privilege 15 secret 5 123

interface GigabitEthernet0/0
description GW
ip address x.x.x.x 255.255.255.240
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
!
interface GigabitEthernet0/1
description -=UpLink-to-LOCALNET=-
ip address 192.168.1.3 255.255.255.0
no ip proxy-arp
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
!
ip nat inside source list NAT interface GigabitEthernet0/0 overload

ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 any

access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.2.0 0.0.0.255 any eq www

FreeBSD 9.0
IPFW

fwd 127.0.0.1,3128 tcp from any to any 80 via gre0 in
fwd 127.0.0.1,3128 ip from any to any via gre0 in
fwd 127.0.0.1,3128 tcp from any to any 80 in
fwd 127.0.0.1,3128 tcp from any to any http in via gre0

Ну и собственно сквид:

http_port 127.0.0.1:3128 transparent

connect_timeout 20 second

shutdown_lifetime 1 seconds

cache_dir ufs /usr/local/squid/cache 3000 16 256

maximum_object_size 320 MB

quick_abort_min 5 MB

coredump_dir /usr/local/squid/cache
access_log /usr/local/squid/log/access.log squid

log_mime_hdrs on

cache_mgr root@localhost

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1

acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl CONNECT method CONNECT

acl MimeAudioVideo  rep_mime_type audio video

acl UrlIP url_regex -i ^http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/.*

http_access allow manager localhost
http_access deny manager

http_access deny CONNECT

http_access deny to_localhost

http_access allow localnet

http_access deny all

http_reply_access allow all

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320


Еще даже собственно запреты не ставил... Фри крутится на виртуалке как я говорил в Virtualbox. Если нужна еще какая инфа предоставлю, а так есть подозрения может как то кэшь оптимизировать или что. В этом пока мало смыслю. Заранее спасибо! Так же пробовал по совету некоторых прописывать первой строкой в 101 листе deny ip host ip_squid any eq www ситуация не изменилась(

зы вывод sh ip wccp
Global WCCP information:
    Router information:
        Router Identifier:                   192.168.1.3
        Protocol Version:                    2.0

    Service Identifier: web-cache
        Number of Service Group Clients:     1
        Number of Service Group Routers:     1
        Total Packets s/w Redirected:        23621
          Process:                           0
          CEF:                               23621
        Service mode:                        Open
        Service Access-list:                 -none-
        Total Packets Dropped Closed:        0
        Redirect Access-list:                101
        Total Packets Denied Redirect:       0
        Total Packets Unassigned:            272
        Group Access-list:                   -none-
        Total Messages Denied to Group:      0
        Total Authentication failures:       0
        Total GRE Bypassed Packets Received: 0

а также

sh ip wccp web-cache detail
WCCP Client information:
        WCCP Client ID:          192.168.1.7
        Protocol Version:        2.0
        State:                   Usable
        Redirection:             GRE
        Packet Return:           GRE
        Assignment:              HASH
        Initial Hash Info:       00000000000000000000000000000000
                                 00000000000000000000000000000000
        Assigned Hash Info:      FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
                                 FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
        Hash Allotment:          256 (100.00%)
        Packets s/w Redirected:  23720
        Connect Time:            00:42:07
        GRE Bypassed Packets
          Process:               0
          CEF:                   0
          Errors:                0


"2911 и прозрачное прксирование squid"
Отправлено kolka88 , 28-Окт-12 03:08 
Причем такая же картина наблюдается с route-map. Люди ну помогите кто-нибудь, это очень необходимо. Буду очень признателен.


"2911 и прозрачное прксирование squid"
Отправлено kolka88 , 28-Окт-12 06:46 
> Причем такая же картина наблюдается с route-map. Люди ну помогите кто-нибудь, это
> очень необходимо. Буду очень признателен.

А также я ранее писал что без ip wccp web-cache redirect-list работает хорошо, так это было временно... через минуты 2 такая же ерунда(