Problem mit Squid-Proxy Transparent + ASA 5505

ExteeC

ExteeC

|
Erst einmal vorab viele Grüße an alle hier im Board !

Ich bin dabei einen Squid Proxy Version 2.7.Stable7 transparent zu betreiben. Dieser befindet sich in der DMZ und läuft auf einem Ubuntu x64 Server 10.04. Der Datenverkehr zwischen Internen Netz (Vlan1), DMZ (Vlan3) und outside Netz (Vlan2) erfolgt über eine ASA 5505.

Das Problem ist nun folgendes:
Wenn ich den Proxyeintrag im Browser vom Clienten aktiviere (inside|Vlan1), funktioniert der Seitenaufbau mit und ohne DNS Auflösung. Wenn ich ohne Proxy-Eintrag versuche einen Seitenaufbau herzustellen, wird der Server nicht gefunden, auch wenn ich im Browser des Clienten die IP direkt eingebe um eine DNS Abfrage zu umgehen und direkt über Port 80 zu kommunizieren.

Wenn ich mit der capture Funktion von der ASA aus das Interface von der dmz|Vlan3 logge, kommen auch ohne Proxyeintrag im Browser der Clienten, Anfragen zu dem Squid (10.0.1.1). Also bin ich der Annahme, dass die ASA soweit richtig Konfiguriert ist, da sie ja die Pakete weiterleitet. Meine Vermutung bezieht sich auf iptables aber ich bin mir nicht wirklich sicher, da ich mich damit so gut wie garnicht auskenne. Die Einträge für das wccp und die dazu gehörigen Accesslisten sind noch von meinen vorherigen versuchen und bewirken meiner Meinung nach keine Wirkung bzw. behindern den Datenaustausch nicht.

Die Konstellation ist folgend aufgebaut:

topologie.png

- Im Inside-Netz und sowohl auch in der DMZ läuft kein DHCP
- Interneteinwahl erfolgt über PPPOE
- Der Ubuntu Server besitzt DNS Einträge vom Provider


Konfiguration Client intern:
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-23-54-40-3D-C6
DHCP aktiviert. . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.0.0.1
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 10.0.0.254
DNS-Server. . . . . . . . . . . . : 10.0.1.1
Link encap:Ethe

Konfiguration Ubuntu Server:
rnet Hardware Adresse 00:11:d8:12:fe:f9
inet Adresse:10.0.1.1 Bcast:10.0.1.255 Maske:255.255.255.0

iptables –t –nat –A PREROUTING –s 10.0.0.0/24 –p tcp –m tcp –dport 80 –j REDIRECT –to-ports 8080

Veränderte Einstellungen am Proxy:
acl intranet src 10.0.0.0/24
http_access allow intranet
http_port 10.0.1.1:8080 transparent
wccp2_router 10.0.1.254

ASA Config:
Code: 
ASA Version 8.2(2) 
!
hostname TA01
enable password Vf39oFA.BHXFBtPP encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
ddns update method dnsauto
!
!
interface Vlan1
 no forward interface Vlan2
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group pppoe_group
 ip address pppoe setroute 
!
interface Vlan3
 nameif dmz
 security-level 50
 ip address 10.0.1.254 255.255.255.0 
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
 switchport access vlan 3
!
interface Ethernet0/2
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown     
!
ftp mode passive
access-list toin extended permit tcp any interface outside eq 20022 
access-list toin extended permit icmp any any 
access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq www 
access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq pop3 
access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq domain 
access-list dmztoout extended permit icmp 10.0.1.0 255.255.255.0 any 
access-list dmztoout extended permit udp 10.0.1.0 255.255.255.0 any eq domain 
access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq 8080 
access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq ssh 
access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq www 
access-list intodmz extended permit udp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq domain 
access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq domain 
access-list intodmz extended permit icmp 10.0.0.0 255.255.255.0 any 
access-list WC extended permit ip host 10.0.1.1 any 
access-list WCA extended deny ip host 10.0.1.1 any 
access-list WCA extended permit tcp any any eq www 
pager lines 24
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (dmz) 1 0.0.0.0 0.0.0.0
static (dmz,outside) tcp interface 20022 10.0.1.1 ssh netmask 255.255.255.255 
access-group intodmz in interface inside
access-group toin in interface outside
access-group dmztoout in interface dmz
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL 
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 10.0.0.0 255.255.255.0 inside
ssh timeout 10
ssh version 2 
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname t-online-com/xxxxxx@t-online-com.de
vpdn group pppoe_group ppp authentication pap
vpdn username t-online-com/xxxxxx@t-online-com.de password ***** 
dhcpd ping_timeout 750
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
wccp web-cache redirect-list WCA group-list WC
wccp interface dmz web-cache redirect in
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect ip-options 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny  
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip  
  inspect xdmcp 
!
service-policy global_policy global
prompt hostname context 
call-home
 profile CiscoTAC-1
  no active
  destination address http [url]https://tools.cisco.com/its/service/oddce/services/DDCEService[/url]
  destination address email [email]callhome@cisco.com[/email]
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:412815894762fded66ec16680f3442ab
: end

Traffic von der DMZ mit der Capture Funktion.

Anfrage mit Proxyeintrag im Browser:
Code: 
1: 06:46:49.763464 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: P 2468944496:2468945678(1182) ack 4262144296 win 65076 
   2: 06:46:49.764349 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: . ack 2468945678 win 26220 
   3: 06:46:49.764395 802.1Q vlan#3 P0 10.0.1.1.34545 > 88.221.136.170.80: P 4263580593:4263581832(1239) ack 3657523742 win 1967 <nop,nop,timestamp 3798212 3655742593> 
   4: 06:46:49.890380 802.1Q vlan#3 P0 88.221.136.170.80 > 10.0.1.1.34545: . ack 4263581832 win 664 <nop,nop,timestamp 3655754861 3798212> 
   5: 06:46:50.370586 802.1Q vlan#3 P0 88.221.136.170.80 > 10.0.1.1.34545: . 3657523742:3657525110(1368) ack 4263581832 win 664 <nop,nop,timestamp 3655755331 3798212> 
   6: 06:46:50.371791 802.1Q vlan#3 P0 10.0.1.1.34545 > 88.221.136.170.80: . ack 3657525110 win 1947 <nop,nop,timestamp 3798364 3655755331>
Anfrage mit Namensauflösung (Ohne Proxyeintrag im Browser):
Code: 
   1: 06:52:29.038251 802.1Q vlan#3 P0 10.0.0.1.53618 > 10.0.1.1.53:  udp 31 
   2: 06:52:29.038907 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable 
   3: 06:52:30.825976 802.1Q vlan#3 P0 arp who-has 10.0.1.254 tell 10.0.1.1 
   4: 06:52:30.826647 802.1Q vlan#3 P0 arp reply 10.0.1.254 is-at 0:27:d:2d:c7:b3 
   5: 06:52:33.302581 802.1Q vlan#3 P0 10.0.0.1.57094 > 10.0.1.1.53:  udp 37 
   6: 06:52:33.303237 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable 
   7: 06:52:35.828509 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048:  udp 144 
   8: 06:52:35.829302 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048:  udp 140 
8 packets shown.
Anfrage ohne Namensauflösung:
Code: 
   1: 06:50:14.872208 802.1Q vlan#3 P0 10.0.0.1.56591 > 10.0.1.1.53:  udp 29 
   2: 06:50:14.872849 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable 
   3: 06:50:15.818439 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048:  udp 144 
   4: 06:50:15.819247 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048:  udp 140 
   5: 06:50:17.086070 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1160: F 4256437164:4256437164(0) ack 13251037 win 31740 
   6: 06:50:17.087001 802.1Q vlan#3 P0 10.0.0.1.1160 > 10.0.1.1.80: . ack 4256437165 win 65535 
   7: 06:50:19.145088 802.1Q vlan#3 P0 10.0.0.1.59913 > 10.0.1.1.53:  udp 37 
   8: 06:50:19.145713 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable 
   9: 06:50:21.751532 802.1Q vlan#3 P0 10.0.0.1.1160 > 10.0.1.1.80: F 13251037:13251037(0) ack 4256437165 win 65535 
  10: 06:50:21.752433 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1160: . ack 13251038 win 31740 
  11: 06:50:25.819400 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048:  udp 144 
  12: 06:50:25.820209 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048:  udp 140 
  13: 06:50:28.094767 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: F 4262174272:4262174272(0) ack 2468949299 win 36531 
  14: 06:50:28.095743 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: . ack 4262174273 win 65535 
  15: 06:50:35.820437 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048:  udp 144 
  16: 06:50:35.821261 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048:  udp 140 
  17: 06:50:36.748343 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: F 2468949299:2468949299(0) ack 4262174273 win 65535 
  18: 06:50:36.749244 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: . ack 2468949300 win 36531 
18 packets shown.
Ich habe mittlerweile etliche Anleitungen von Google gelesen, alles paar mal umgestellt, den Datenverkehr von den Vlans mitgelesen... 24h .... ;(

Ich bitte um Rat, ich weis nichtmehr weiter.
 
Zuletzt bearbeitet:
Hat wirklich keiner Lust mir zu helfen ? :think:
 
Anmelden, um zu antworten.

Ähnliche Themen

Debian Routing Problem
Debian Routing Problem: Liebes Forum, ich versuche über einen Debian Server eine pppoe Verbindung im Lan bereitzustellen, leider bekomme ich auf den Clients immer nur folgende...

Debian Gateway
Debian Gateway: Hallo liebe Leute, ich versuche mich seit 2 Tagen an einer Gateway Konfiguration mit Debian, habe schon einige Beiträge in Foren durchstöbert bekomme keine...

Samba 4 Gast Zugang unter Ubuntu funktioniert nicht
Samba 4 Gast Zugang unter Ubuntu funktioniert nicht: Hallo zusammen, ich habe unter Ubuntu 14.04 meinen Samba Server konfiguriert wie hier beschrieben um einen Gast Zugang zu einer Freigabe zu erlauben...

RHEVM-SETUP Fehler bei der Erstellung der Datenbank
RHEVM-SETUP Fehler bei der Erstellung der Datenbank: Hallo Leute, ich bin bei der Installation des Managers nun an der Stelle angekommen, wo ich per rhevm-setup den Manager installieren kann. Nachdem ich...

OpenVPN - Server kann clients nicht erreichen.
OpenVPN - Server kann clients nicht erreichen.: Hallo Leute, ich habe ein komisches Problem. Ich möchte eine OpenVPN Infrastruktur mit einem zentralen Server einrichten, in der sich alle Clients sehen...

Neueste Themen

Zurück
Oben