CISCO WCCPv1 -> Squid (FreeBSD)

[RockerMan]

Доброго времени суток

Профи по CISCO помогите плз разобраться с wccp, не получается организовать transparent proxy через wccp. Без wccp работает нормально.

Имеется:
Router c2801:
Cisco IOS Software, 2801 Software (C2801-ADVIPSERVICESK9-M), Version 12.3(14)T4, RELEASE SOFTWARE (fc2)
FreeBSD:
7.4-STABLE FreeBSD 7.4-STABLE #2: Thu Dec 13 09:17:00 MSK 2012
Squid 2.7:
Squid Cache: Version 2.7.STABLE9
configure options: ... '--enable-wccp' '--enable-ipfw-transparent' '--disable-pf-transparent' '--enable-ipf-transparent' ...

На с2801 два порта, один (Fa0/1)смотрит в Интернет (10.10.10.10), на втором (Fa0/0) на сабинтерфейcе Fa0/0.1 (172.31.172.1) настроен транк, на этот порт подключен каталист, через который клиенты ходят в Интернет через NAT на с2801. На порт каталиста подключена фря (172.31.172.85)

Задача: Организовать прозрачный прокси на Squid используя WCCPv1 на с2801 чтобы потом с Lightsquid мониторить
трафик, кто куда ходит.

Код: Выделить всё

---
c2801(config)#ip wccp version 1
c2801(config)#ip wccp web-cache redirect-list wccp
c2801(config)#interface fa0/0.1
c2801(config-subif)#ip wccp web-cache redirect in
c2801(config)#ip access-list extended wccp
c2801(config-ext-nacl)#deny   tcp host 172.31.172.85 any
c2801(config-ext-nacl)#permit ip any any
---

FreeBSD:
---
#cat squid.conf
...
acl localnet src 172.31.172.0/24
http_access allow localnet
...
http_port 127.0.0.1:3128 transparent
...
wccp_router 172.31.172.1
---
остальные настройки сквида по умолчанию

#ifconfig gre0 create
#ifconfig gre0 172.31.172.85 10.20.30.40 netmask 255.255.255.255 link1 tunnel 172.31.172.85 172.31.172.1 up
#ipfw add 500  fwd 127.0.0.1,3128 tcp from any to any dst-port 80 recv gre0
#./squid restart

c2801#sh ip wccp
Global WCCP information:
    Router information:
        Router Identifier:                   172.31.172.1
        Protocol Version:                    1.0
...
c2801#sh ip wccp web-cache
Global WCCP information:
    Router information:
        Router Identifier:                   172.31.172.1
        Protocol Version:                    1.0
        Redirect access-list:                wccp
...
c2801#sh ip wccp web-cache detail
WCCP Cache-Engine information:
        Web Cache ID:          0.0.0.0
        Protocol Version:      0.4
        State:                 Usable
...
c2801#sh ip wccp web-cache view
    WCCP Routers Informed of:
        -none-

    WCCP Cache Engines Visible:
        172.31.172.85

    WCCP Cache Engines NOT Visible:
        -none-
---

с2801 и веб-кэш друг друга видят
---
Dec 24 13:40:54: WCCP-PKT: Sending I_See_You packet to 172.31.172.85 w/ rcvd_id 00000146
Dec 24 13:41:04: WCCP-PKT: Received valid Here_I_Am packet from 172.31.172.85 w/rcvd_id 00000146

но access.log пустой, клиенты работают в Сети через NAT, редиректа на веб-кэш не происходит, tcpdump на gre0 ничего не показывает. Помогите плз, где что не так настроил, а то запутался уже в трех соснах.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[DenisKh]

Сервер работает как шлюз ?
gateway_enable="YES"
на Fa0/1 ip wccp web-cache redirect out ?

[RockerMan]

да, как шлюз, в rc.conf gateway_enable="YES" есть
нет, только на Fa0/0.1 redirect in

[DenisKh]

Если память не изменяет то должен быть аут. Завтра могу подробно глянуть..был где то конфиг от роутера.

[RockerMan]

С out на внешнем интерфейсе то же самое, не работает
Читал по ходу изучения проблемы на буржуйском форуме что версия IOS (12.3T) не работает с WCCP

[DenisKh]

я wccp разворачивал на 12.4