Squid + WCCP + Cisco

[Max Yurchak]

Всё, держаться нету больше сил!
Товарищи, уважаемые если кто знает подскажите как сделать!!!! Три дня уже ведёться неравный бой!
Исходные данные:
1. Cisco 2811 2 FE порта

Код: Выделить всё

Router#sh ver
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(15)T, RELEASE SOFTWARE (fc3)

2. FreeBSD 6.1

Код: Выделить всё

FreeBSD# uname -v
FreeBSD 6.1-RELEASE-p19 #1

3. SQUID 2.6.STABLE16+ICAP
ЗАДАЧА настроить прозрачное проксирование с использование SQUID и WCCP через Cisco.

Конфиг Cisco

Код: Выделить всё

Current configuration : 4481 bytes
!
version 12.4
!
ip wccp version 1
ip wccp web-cache redirect-list 5
!
!
no ip cef
!
!

!
interface Null0
 no ip unreachables
!
interface FastEthernet0/0
 description $FW_INSIDE$$ETH-LAN$
 ip address 192.168.0.99 255.255.255.0
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip wccp web-cache redirect out
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 ip policy route-map all-out
 duplex auto
 speed auto
 no cdp enable
 no mop enabled
!
interface FastEthernet0/1
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip virtual-reassembly
 ip route-cache flow
 duplex full
 speed auto
 no mop enabled
!
interface FastEthernet0/1.1
 description $FW_INSIDE$
 encapsulation dot1Q 2
 ip address 111.222.333.444 255.255.255.248
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 ip policy route-map map-nc
!
interface FastEthernet0/1.2
 encapsulation dot1Q 3
 ip address 555.666.777.888 255.255.255.192
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly
 ip policy route-map map-sol
!

access-list 5 deny   192.168.0.5
access-list 5 permit any

!
end

Примерно так!
Показания маршрутизатора после настройки WCCP

Код: Выделить всё

Router#sh ip wccp web-cache  
Global WCCP information:
    Router information:
        Router Identifier:                   192.168.0.99
        Protocol Version:                    1.0

    Service Identifier: web-cache
        Number of Service Group Clients:     1
        Number of Service Group Routers:     1
        Total Packets s/w Redirected:        0
          Process:                           0
          Fast:                              0
          CEF:                               0
        Redirect access-list:                5
        Total Packets Denied Redirect:       0
        Total Packets Unassigned:            0
        Group access-list:                   -none-
        Total Messages Denied to Group:      0
        Total Authentication failures:       0

Router#sh ip wccp web-cache detail 
WCCP Client information:
        WCCP Client ID:          192.168.0.5
        Protocol Version:        0.4
        State:                   Usable
        Initial Hash Info:       00000000000000000000000000000000
                                 00000000000000000000000000000000
        Assigned Hash Info:      FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
                                 FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
        Hash Allotment:          256 (100.00%)
        Packets s/w Redirected:  0
        Connect Time:            00:40:28

Router#sh ip wccp web-cache view 
    WCCP Routers Informed of:
        -none-

    WCCP Clients Visible:
        192.168.0.5

    WCCP Clients NOT Visible:
        -none-

Накстройки Squid

Код: Выделить всё

http_port 192.168.0.5:3128 transparent
wccp_router 192.168.0.99
wccp_version 4
wccp2_rebuild_wait on
wccp2_forwarding_method 1
wccp2_return_method 1
wccp_address 192.168.0.5

Написанно в сделать gre тунель

Код: Выделить всё

FreeBSD# ifconfig -a
gre0: flags=b151<UP,POINTOPOINT,RUNNING,PROMISC,LINK0,LINK1,MULTICAST> mtu 1476
        tunnel inet 192.168.0.5 --> 192.168.0.99
        inet6 fe80::2e0:18ff:fe22:39de%gre0 prefixlen 64 scopeid 0x4
        inet 192.168.0.5 --> 10.0.0.1 netmask 0xffffffff

Ну и соответственно

Код: Выделить всё

ipfw add 400 fwd 192.168.0.5,3128 tcp from any to any 80 in recv gre0

И ничего не работает. Хотя должно! Просто Squid работает, а вот что бы прозрачно ?????

Примено где то так! Любые мысли приветствуються!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Nadz Goldman]

squid понимает только wccp 1
Тем паче...

Расскажи как ты ходишь в нет.
Через cs2811 или fbsd?
если через cs2811, то гре0 на фряхе не надо.

[Corwin]

Я вот тоже настраиваю squid+wccp+cisco. Конфиги, ну практически такие же, как в первом топике, разве что различие по адресации. Cisco смотрит один интерфейс в нет, второй для биллинга внутрь. Сделан nat и пул диалапщиков ходит через один ip. Squid тоже с внешним ip.



INTERNET<=CISCO=<=ДИАЛАПЩИКИ, ВТОРЫМ ИНТЕРФЕЙСОМ БИЛЛИНГ ВО ВНУТРЕННЕЙ СЕТИ
|
КОММУТАТОР
|
INTERNET<=SQUID

Cisco 5350 (IOS 12.3), squid 2.6 (пробовал 2.5, но нём вообще признаков жизни нет)
Cisco - ip внешний,
Squid - ip внешний

В Cisco добавил:

ip wccp version 1

На внешнем интерфейсе:
ip wccp web-cache redirect out

ip wccp web-cache redirect-list 5
..............
access-list 5 deny ip_out_squid
access-list 5 permit any

В SQUID поставил:
port 3128 transparent
.........
wccp_router ip_cisco

gre0: flags=b151<UP,POINTOPOINT,RUNNING,PROMISC,LINK0,LINK1,MULTICAST> mtu 1476
tunnel inet ip_out_squid --> ip_out_cisco
inet6 fe80::2e0:18ff:fe22:39de%gre0 prefixlen 64 scopeid 0x4
inet ip_out_squid --> 10.20.30.40 netmask 0xffffffff

В firewall

ipfw add 00100 fwd ip_out_squid,3128 tcp from any to any 80 in recv gre0

В общем, что получается?
Squid вроде как соединяется с Cisco, ipfw show показывает, что пакеты пытаются форвардится...то есть общаются между собой. Но при попытке залезть куда-нибудь на сайт идёт первоначальное обращение и на этом всё замирает. То есть сайты запрашиваются, отвечают один раз и на этом всё останаливается.

tcpdump показывает, что на сквид всё-таки приходит обращение к сайту, куда идёт запрос, но только единожды и ответа нет.

Вот такая ситуация. Если не делать gre0, то вообще ничего на форвардинг не приходит и сайты очень просто открываются, так как, похоже, сквид с кошаком не соединены.

Может кто-нибудь всё-таки реализовывал данное решение? Поделитесь пожалуйста опытом?

[Al]

на циске:
создаем лист доступа, кого прозрачно проксируем (маска обратная)

Код: Выделить всё

ip ccess-list extended REDIRECT_HTTP
 permit tcp 192.168.0.0 0.0.255.255 any eq www

говорим версию протокола и для кого действует

Код: Выделить всё

ip wccp version 1
ip wccp web-cche redirect-list REDIRECT_HTTP

вешаем на интерфейс

Код: Выделить всё

interface fe0/0
ip wccp web-cach redirect in

смотрим

Код: Выделить всё

show ip wccp web-caсру view

даьше фря:

Код: Выделить всё

ifconfig gre0 create
ifconfig gre0 link1 tunnel [ип фри] [внутренний или внешний ип циски.у мя заработало с внешним] 

сквид:

Код: Выделить всё

wccp_router [внутренний ип циски]

и не забываем про редирект

[Corwin]

Спасибо огромадное!! Всё заработало

[Corwin]

Кстати, в дополнение. Все статьи, которые описывают настройку wccp+cisco касаются wccp version 1, а он по умолчанию в версии Squid 2.6 отключен в Makefile, но включен wccpv2. В общем, я сделал enable и заработало и по gre0 забегали пакеты от cisco на сквид. Посмотреть это можно tcpdump -i gre0 и в нём видно запросы от клиентов, кто на какие сайты делает запрос Не знаю, работает ли squid по wccpv2, но везде пишут, что нет, поэтому рисковать не стал. Вот такая штука. И ещё касательно gre-туннеля, так как по первости возникает вопрос для чего он нужен и на первый взгляд думаешь, что всё и так соединяется и зачем ещё какой-то туннель строить? Он производит деинкапсуляцию...можно сравнить с разархивацией... то есть он нужен для того, чтобы вытащить нужное в приемлемом виде

[Anaxion]

То ли лыжи не едут, то ли я....
Всем доброго времени суток, возникла похожая проблема wccp + squid
Имеется:
Cisco 2811 (2x FastEthernet)
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(12), RELEASE SOFTWARE (fc1)
и прокси-сервер
FreeBSD 7.0-RELEASE #1:
Настраиваю циску:

Код: Выделить всё

ip wccp version 1
ip wccp web-cache redirect-list squid
!         
ip access-list standard squid
 permit 192.168.2.27
 deny   any

На циске 2 интерфейса - один смотрит в мир (81.94.ххх.ххх), другой - в сеть. На втором подняты 2 подинтерфейса (dot1Q) для двух вланов. Применяю wccp к подинтерфейсу "проксируемой" сети

Код: Выделить всё

interface FastEthernet0/1.2
 encapsulation dot1Q 2
 ip address 192.168.2.254 255.255.255.0
 ip wccp web-cache redirect in
 ip nat inside
 ip inspect DENY-URL in
 ip virtual-reassembly

На сервере ставлю squid-2.6.STABLE20 (затем пробовал и с squid-3.0)
В конфиг сквида добавляю

Код: Выделить всё

wccp_router     192.168.2.254

Поднимаю тоннель

Код: Выделить всё

gre0: flags=b051<UP,POINTOPOINT,RUNNING,LINK0,LINK1,MULTICAST> metric 0 mtu 1476
	tunnel inet 192.168.2.2 --> 81.94.ххх.ххх
	inet 192.168.2.2 --> 10.20.30.40 netmask 0xffffff00 

IPFW:
${fwcmd} add 210 fwd 127.0.0.1,3128 log tcp from any to any http via gre0 in
Смотрим:

Код: Выделить всё

ROUTER-MSK#sh ip wccp 
Global WCCP information:
    Router information:
	Router Identifier:                   192.168.5.1
	Protocol Version:                    1.0

    Service Identifier: web-cache
	Number of Service Group Clients:     1
	Number of Service Group Routers:     1
	Total Packets s/w Redirected:        33
ROUTER-MSK#sh ip wccp web-cache detail 
WCCP Client information:
	WCCP Client ID:          192.168.2.2
	Protocol Version:        0.4
	State:                   Usable

Задумался: Router Identifier: 192.168.5.1 - это адрес Loopback0 (кстати, используется для сбора статистики NetAMS тем же прокси сервером, работает на ура).
Ладно, поехали: http://www.google.ru

Код: Выделить всё

Proxy# tcpdump -i gre0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gre0, link-type NULL (BSD loopback), capture size 96 bytes
17:28:09.998990 IP 192.168.2.27.37464 > ug-in-f104.google.com.http: S 1552815240:1552815240(0) win 5840 <mss 1460,sackOK,timestamp 6752296 0,nop,wscale 7>
Proxy#cat /var/log/security
kernel: ipfw: 210 Forward to 127.0.0.1:3128 TCP 192.168.2.27:44120 72.14.221.104:80 in via gre0

Пакет пришел и вроде как направился на сквид. Однако access.log - пуст, в браузере "ожидание ответа от http://www.google.ru" (ipfw?)
Неправильно настроен сквид или мое непонимание wccp? Разъясните, пожалуйста.

[alex23]

присоединяюсь к последнему вопросу. точно такое-же поведение связки cisco wccp - freebsd squid. Ежели автор вопроса проблему решил, прошу отписаться в чем был трабл.

[ввфап]

вфпвфпфрпвфрвфр

[LNShadow]

Если интересно, то настроил связку Cisco Version 12.4(6)T8 + Squid 2.7.9 WCCP2. Все работает уже 4 месяца без нареканий.

Код: Выделить всё

c1801#sh ip wccp
Global WCCP information:
    Router information:
	Router Identifier:                   192.168.0.1
	Protocol Version:                    2.0
...

[berserkdeep]

http://forum.lissyara.su/viewtopic.php?f=4&t=31771