Problem mit Squid-Proxy Transparent + ASA 5505

Dieses Thema im Forum "Debian/Ubuntu/Knoppix" wurde erstellt von ExteeC, 07.09.2010.

  1. #1 ExteeC, 07.09.2010
    Zuletzt bearbeitet: 07.09.2010
    ExteeC

    ExteeC |

    Dabei seit:
    07.09.2010
    Beiträge:
    25
    Zustimmungen:
    0
    Erst einmal vorab viele Grüße an alle hier im Board !

    Ich bin dabei einen Squid Proxy Version 2.7.Stable7 transparent zu betreiben. Dieser befindet sich in der DMZ und läuft auf einem Ubuntu x64 Server 10.04. Der Datenverkehr zwischen Internen Netz (Vlan1), DMZ (Vlan3) und outside Netz (Vlan2) erfolgt über eine ASA 5505.

    Das Problem ist nun folgendes:
    Wenn ich den Proxyeintrag im Browser vom Clienten aktiviere (inside|Vlan1), funktioniert der Seitenaufbau mit und ohne DNS Auflösung. Wenn ich ohne Proxy-Eintrag versuche einen Seitenaufbau herzustellen, wird der Server nicht gefunden, auch wenn ich im Browser des Clienten die IP direkt eingebe um eine DNS Abfrage zu umgehen und direkt über Port 80 zu kommunizieren.

    Wenn ich mit der capture Funktion von der ASA aus das Interface von der dmz|Vlan3 logge, kommen auch ohne Proxyeintrag im Browser der Clienten, Anfragen zu dem Squid (10.0.1.1). Also bin ich der Annahme, dass die ASA soweit richtig Konfiguriert ist, da sie ja die Pakete weiterleitet. Meine Vermutung bezieht sich auf iptables aber ich bin mir nicht wirklich sicher, da ich mich damit so gut wie garnicht auskenne. Die Einträge für das wccp und die dazu gehörigen Accesslisten sind noch von meinen vorherigen versuchen und bewirken meiner Meinung nach keine Wirkung bzw. behindern den Datenaustausch nicht.

    Die Konstellation ist folgend aufgebaut:

    topologie.png

    - Im Inside-Netz und sowohl auch in der DMZ läuft kein DHCP
    - Interneteinwahl erfolgt über PPPOE
    - Der Ubuntu Server besitzt DNS Einträge vom Provider


    Konfiguration Client intern:
    Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
    Physikalische Adresse . . . . . . : 00-23-54-40-3D-C6
    DHCP aktiviert. . . . . . . . . . : Nein
    IP-Adresse. . . . . . . . . . . . : 10.0.0.1
    Subnetzmaske. . . . . . . . . . . : 255.255.255.0
    Standardgateway . . . . . . . . . : 10.0.0.254
    DNS-Server. . . . . . . . . . . . : 10.0.1.1
    Link encap:Ethe

    Konfiguration Ubuntu Server:

    rnet Hardware Adresse 00:11:d8:12:fe:f9
    inet Adresse:10.0.1.1 Bcast:10.0.1.255 Maske:255.255.255.0

    iptables –t –nat –A PREROUTING –s 10.0.0.0/24 –p tcp –m tcp –dport 80 –j REDIRECT –to-ports 8080

    Veränderte Einstellungen am Proxy:
    acl intranet src 10.0.0.0/24
    http_access allow intranet
    http_port 10.0.1.1:8080 transparent
    wccp2_router 10.0.1.254

    ASA Config:
    Code:
    ASA Version 8.2(2) 
    !
    hostname TA01
    enable password Vf39oFA.BHXFBtPP encrypted
    passwd 2KFQnbNIdI.2KYOU encrypted
    names
    ddns update method dnsauto
    !
    !
    interface Vlan1
     no forward interface Vlan2
     nameif inside
     security-level 100
     ip address 10.0.0.254 255.255.255.0 
    !
    interface Vlan2
     nameif outside
     security-level 0
     pppoe client vpdn group pppoe_group
     ip address pppoe setroute 
    !
    interface Vlan3
     nameif dmz
     security-level 50
     ip address 10.0.1.254 255.255.255.0 
    !
    interface Ethernet0/0
     switchport access vlan 2
    !
    interface Ethernet0/1
     switchport access vlan 3
    !
    interface Ethernet0/2
    !
    interface Ethernet0/3
     shutdown
    !
    interface Ethernet0/4
     shutdown
    !
    interface Ethernet0/5
     shutdown
    !
    interface Ethernet0/6
     shutdown
    !
    interface Ethernet0/7
     shutdown     
    !
    ftp mode passive
    access-list toin extended permit tcp any interface outside eq 20022 
    access-list toin extended permit icmp any any 
    access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq www 
    access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq pop3 
    access-list dmztoout extended permit tcp 10.0.1.0 255.255.255.0 any eq domain 
    access-list dmztoout extended permit icmp 10.0.1.0 255.255.255.0 any 
    access-list dmztoout extended permit udp 10.0.1.0 255.255.255.0 any eq domain 
    access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq 8080 
    access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq ssh 
    access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq www 
    access-list intodmz extended permit udp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq domain 
    access-list intodmz extended permit tcp 10.0.0.0 255.255.255.0 10.0.1.0 255.255.255.0 eq domain 
    access-list intodmz extended permit icmp 10.0.0.0 255.255.255.0 any 
    access-list WC extended permit ip host 10.0.1.1 any 
    access-list WCA extended deny ip host 10.0.1.1 any 
    access-list WCA extended permit tcp any any eq www 
    pager lines 24
    mtu inside 1500
    mtu outside 1500
    mtu dmz 1500
    icmp unreachable rate-limit 1 burst-size 1
    no asdm history enable
    arp timeout 14400
    global (outside) 1 interface
    nat (dmz) 1 0.0.0.0 0.0.0.0
    static (dmz,outside) tcp interface 20022 10.0.1.1 ssh netmask 255.255.255.255 
    access-group intodmz in interface inside
    access-group toin in interface outside
    access-group dmztoout in interface dmz
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    timeout tcp-proxy-reassembly 0:01:00
    dynamic-access-policy-record DfltAccessPolicy
    aaa authentication ssh console LOCAL 
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000
    telnet timeout 5
    ssh 10.0.0.0 255.255.255.0 inside
    ssh timeout 10
    ssh version 2 
    console timeout 0
    vpdn group pppoe_group request dialout pppoe
    vpdn group pppoe_group localname t-online-com/xxxxxx@t-online-com.de
    vpdn group pppoe_group ppp authentication pap
    vpdn username t-online-com/xxxxxx@t-online-com.de password ***** 
    dhcpd ping_timeout 750
    !
    
    threat-detection basic-threat
    threat-detection statistics access-list
    no threat-detection statistics tcp-intercept
    wccp web-cache redirect-list WCA group-list WC
    wccp interface dmz web-cache redirect in
    username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
    !
    class-map inspection_default
     match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum client auto
      message-length maximum 512
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map 
      inspect ftp 
      inspect h323 h225 
      inspect h323 ras 
      inspect ip-options 
      inspect netbios 
      inspect rsh 
      inspect rtsp 
      inspect skinny  
      inspect esmtp 
      inspect sqlnet 
      inspect sunrpc 
      inspect tftp 
      inspect sip  
      inspect xdmcp 
    !
    service-policy global_policy global
    prompt hostname context 
    call-home
     profile CiscoTAC-1
      no active
      destination address http [url]https://tools.cisco.com/its/service/oddce/services/DDCEService[/url]
      destination address email [email]callhome@cisco.com[/email]
      destination transport-method http
      subscribe-to-alert-group diagnostic
      subscribe-to-alert-group environment
      subscribe-to-alert-group inventory periodic monthly
      subscribe-to-alert-group configuration periodic monthly
      subscribe-to-alert-group telemetry periodic daily
    Cryptochecksum:412815894762fded66ec16680f3442ab
    : end
    
    Traffic von der DMZ mit der Capture Funktion.

    Anfrage mit Proxyeintrag im Browser:
    Code:
    1: 06:46:49.763464 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: P 2468944496:2468945678(1182) ack 4262144296 win 65076 
       2: 06:46:49.764349 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: . ack 2468945678 win 26220 
       3: 06:46:49.764395 802.1Q vlan#3 P0 10.0.1.1.34545 > 88.221.136.170.80: P 4263580593:4263581832(1239) ack 3657523742 win 1967 <nop,nop,timestamp 3798212 3655742593> 
       4: 06:46:49.890380 802.1Q vlan#3 P0 88.221.136.170.80 > 10.0.1.1.34545: . ack 4263581832 win 664 <nop,nop,timestamp 3655754861 3798212> 
       5: 06:46:50.370586 802.1Q vlan#3 P0 88.221.136.170.80 > 10.0.1.1.34545: . 3657523742:3657525110(1368) ack 4263581832 win 664 <nop,nop,timestamp 3655755331 3798212> 
       6: 06:46:50.371791 802.1Q vlan#3 P0 10.0.1.1.34545 > 88.221.136.170.80: . ack 3657525110 win 1947 <nop,nop,timestamp 3798364 3655755331>
    
    Anfrage mit Namensauflösung (Ohne Proxyeintrag im Browser):
    Code:
       1: 06:52:29.038251 802.1Q vlan#3 P0 10.0.0.1.53618 > 10.0.1.1.53:  udp 31 
       2: 06:52:29.038907 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable 
       3: 06:52:30.825976 802.1Q vlan#3 P0 arp who-has 10.0.1.254 tell 10.0.1.1 
       4: 06:52:30.826647 802.1Q vlan#3 P0 arp reply 10.0.1.254 is-at 0:27:d:2d:c7:b3 
       5: 06:52:33.302581 802.1Q vlan#3 P0 10.0.0.1.57094 > 10.0.1.1.53:  udp 37 
       6: 06:52:33.303237 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable 
       7: 06:52:35.828509 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048:  udp 144 
       8: 06:52:35.829302 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048:  udp 140 
    8 packets shown.
    
    Anfrage ohne Namensauflösung:
    Code:
       1: 06:50:14.872208 802.1Q vlan#3 P0 10.0.0.1.56591 > 10.0.1.1.53:  udp 29 
       2: 06:50:14.872849 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable 
       3: 06:50:15.818439 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048:  udp 144 
       4: 06:50:15.819247 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048:  udp 140 
       5: 06:50:17.086070 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1160: F 4256437164:4256437164(0) ack 13251037 win 31740 
       6: 06:50:17.087001 802.1Q vlan#3 P0 10.0.0.1.1160 > 10.0.1.1.80: . ack 4256437165 win 65535 
       7: 06:50:19.145088 802.1Q vlan#3 P0 10.0.0.1.59913 > 10.0.1.1.53:  udp 37 
       8: 06:50:19.145713 802.1Q vlan#3 P6 10.0.1.1 > 10.0.0.1: icmp: 10.0.1.1 udp port 53 unreachable 
       9: 06:50:21.751532 802.1Q vlan#3 P0 10.0.0.1.1160 > 10.0.1.1.80: F 13251037:13251037(0) ack 4256437165 win 65535 
      10: 06:50:21.752433 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1160: . ack 13251038 win 31740 
      11: 06:50:25.819400 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048:  udp 144 
      12: 06:50:25.820209 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048:  udp 140 
      13: 06:50:28.094767 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: F 4262174272:4262174272(0) ack 2468949299 win 36531 
      14: 06:50:28.095743 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: . ack 4262174273 win 65535 
      15: 06:50:35.820437 802.1Q vlan#3 P0 10.0.1.1.2048 > 10.0.1.254.2048:  udp 144 
      16: 06:50:35.821261 802.1Q vlan#3 P0 10.0.1.254.2048 > 10.0.1.1.2048:  udp 140 
      17: 06:50:36.748343 802.1Q vlan#3 P0 10.0.0.1.1161 > 10.0.1.1.80: F 2468949299:2468949299(0) ack 4262174273 win 65535 
      18: 06:50:36.749244 802.1Q vlan#3 P0 10.0.1.1.80 > 10.0.0.1.1161: . ack 2468949300 win 36531 
    18 packets shown.
    
    Ich habe mittlerweile etliche Anleitungen von Google gelesen, alles paar mal umgestellt, den Datenverkehr von den Vlans mitgelesen... 24h .... ;(

    Ich bitte um Rat, ich weis nichtmehr weiter.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. ExteeC

    ExteeC |

    Dabei seit:
    07.09.2010
    Beiträge:
    25
    Zustimmungen:
    0
    Hat wirklich keiner Lust mir zu helfen ? :think:
     
Thema:

Problem mit Squid-Proxy Transparent + ASA 5505

Die Seite wird geladen...

Problem mit Squid-Proxy Transparent + ASA 5505 - Ähnliche Themen

  1. Virtualboxproblem

    Virtualboxproblem: Hallo Folgnedes Problem: Ich kann ohne Probleme In Debian-Sid, 64Bit und virtualbox-dkms Unixoide installieren, wenn es sich um eine...
  2. grub-pc Probleme bei upgrade

    grub-pc Probleme bei upgrade: Hallo, ich habe beim dist-upgrade folgendes Problem: ---------- Nach dieser Operation werden 0 B Plattenplatz zusätzlich benutzt. Trigger für...
  3. Problem bei apt-get upgrade (Kali 2.0)

    Problem bei apt-get upgrade (Kali 2.0): Hi, seit paar Tagen habe ich einige Probs. Dachte es sei mal an der Zeit für ein Update und nun tauchen da einige Fehler auf: Es müssen noch 0 B...
  4. Probleme mit YUM

    Probleme mit YUM: Hallo, ich habe CentOs 7 als Dualboot mit Windows 7 auf einen Dell Latitude E5510 installiert. Dies hat soweit auch alles geklappt. Leider habe...
  5. Problem mit Win-Zugriff auf SAMBA

    Problem mit Win-Zugriff auf SAMBA: Hallo rundherum, vielleicht hat jemand eine Idee... Habe jetzt schon 1 1/2 Tage damit verbraten und den Fehler nicht gefunden. Problem:...