Настройка прокси-сервера параллельно существующему (не выходит в инет)

[juceser]

Добрый день,
Имеется такая задача. Необходимо настроить прокси-сервер взамен существующего, но так как отключить его не могу, то пытаюсь поставить его параллельно в существующую сеть.
Схему сети прилагаю. Конфиг Lan2Net в плане Ip прилагаю.
Необходимо убрать Lan2Net.
Подготовил сервер на Ubuntu 14.04 и настроил его по инструкции -
http://blog.it-kb.ru/2014/06/26/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-5-squid-conf-settings-for-kerberos-ntlm-basic-and-access-rules/
По аналогии с существующим присвоил новому серверу eth0 - 10.12.1.1 - WAN и 172.16.20.10 - LAN. По аналогии настроил маршрутизацию на 3COM 4200G -
http://rusfolder.com/43478887
По аналогии настроил маршрутизацию на 3COM 4950-
http://rusfolder.com/43478919
Доступ по SSH на прокси-сервер с внутренней сети 172.16.2.x нормальный.
Выхода с прокси в инет нет.
Файл interface на новой проксе -

Код: [Выделить]

auto lo
iface lo inet loopback

# The WAN primary network interface
auto eth0
iface eth0 inet static
           address 10.12.1.1
           netmask 255.255.255.0
           network 10.12.1.0
           broadcast 10.12.1.255
           gateway 10.12.1.2
           dns-nameservers 217.119.16.67 172.16.0.2 217.119.16.75
           #dns-search inter.loc

# The secondary LAN network interface
auto eth1
iface eth1 inet static
           address 172.16.20.10
           netmask 255.255.255.0
           network 172.16.20.0
           broadcast 172.16.20.255
           dns-nameservers 172.16.0.50 172.16.0.21
# static routes
          up route add -net 172.16.20.0 netmask 255.255.255.0 gw 172.16.20.10 eth1
          up route add -net 172.16.0.0 netmask 255.255.0.0 gw 172.16.20.1 eth1
          up route add -net 172.16.16.0 netmask 255.255.255.0 gw 10.12.1.2 eth0
          up route add -net 172.16.17.0 netmask 255.255.255.0 gw 172.16.20.1 eth1
          up route add -net 172.16.100.0 netmask 255.255.255.0 gw 10.12.1.2 eth0
          up route add default gw 10.12.1.2 eth0
          up route add -net 10.12.1.0 netmask 255.255.255.0 gw 10.12.1.1 eth0
          up route add -net 10.12.0.0 netmask 255.255.255.0 gw 10.12.1.1 eth0


# start NAT
         # post-up /etc/nat

NAT пока отключил, по инструкции он и не должен включаться.
Пинги на внутреннюю сеть проходят нормально -

Код: [Выделить]

PING 172.16.0.50 (172.16.0.50) 56(84) bytes of data.
64 bytes from 172.16.0.50: icmp_seq=1 ttl=127 time=0.448 ms
64 bytes from 172.16.0.50: icmp_seq=2 ttl=127 time=0.454 ms
64 bytes from 172.16.0.50: icmp_seq=3 ttl=127 time=0.204 ms
Пинги во внешнюю сеть проходят только до 10.99.1.1.
Интересно что до включения прокси во внутреннюю сеть вторым интерфейсом доходили до Cisco 2821 с ip 10.99.1.2, но дальше не выходили.
Пинги с роутера 4200G насквозь на 172.16.20.1 не проходят.
Самое интересное что и на самом Lan2Net пинги на 10.99.1.2 не доходят, только до 10.99.1.1.
Хотя он работает штатно.
С рабочего ПК я спокойно пингую и 10.99.1.2 и дальше до 217.119.31.117 - внешних адресов провайдера.
Вывод route print на Lan2Net прикладываю -
http://rusfolder.com/43479031
вывод route -n на проксе прикладываю -

Код: [Выделить]

route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         10.12.1.2       0.0.0.0         UG    0      0        0 eth0
10.12.1.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
172.16.0.0      172.16.20.1     255.255.0.0     UG    0      0        0 eth1
172.16.16.0     10.12.1.2       255.255.255.0   UG    0      0        0 eth0
172.16.17.0     172.16.20.1     255.255.255.0   UG    0      0        0 eth1
172.16.20.0     172.16.20.10    255.255.255.0   UG    0      0        0 eth1
172.16.20.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.16.100.0    10.12.1.2       255.255.255.0   UG    0      0        0 eth0
Прошу вашей помощи как добиться получения доступа к Инет на проксе и корректно раздать его дальше в локалку.
Спасибо.

[fisher74]

Подготовил сервер на Ubuntu 14.04 и настроил его по инструкции -
httр://blog.it-kb.ru

А что по этому поводу думает камрад Алексей Максимов (автор статьи)? Он же там отвечает на вопросы.

Файл interface на новой проксе -

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

...
# static routes
          up route add -net 172.16.20.0 netmask 255.255.255.0 gw 172.16.20.10 eth1
          up route add -net 172.16.0.0 netmask 255.255.0.0 gw 172.16.20.1 eth1
          up route add -net 172.16.16.0 netmask 255.255.255.0 gw 10.12.1.2 eth0
          up route add -net 172.16.17.0 netmask 255.255.255.0 gw 172.16.20.1 eth1
          up route add -net 172.16.100.0 netmask 255.255.255.0 gw 10.12.1.2 eth0
          up route add default gw 10.12.1.2 eth0
          up route add -net 10.12.1.0 netmask 255.255.255.0 gw 10.12.1.1 eth0
          up route add -net 10.12.0.0 netmask 255.255.255.0 gw 10.12.1.1 eth0


Листинг из серии - как делать НЕ НАДО...

Пинги с роутера 4200G насквозь на 172.16.20.1 не проходят.

А должны?

пинги на 10.99.1.2 не доходят, только до 10.99.1.1.
Хотя он работает штатно.

Что как бы намекает, что Вы не до конца понимаете что делаете.
Пользователь решил продолжить мысль 17 Апреля 2015, 19:55:14:

Вывод route print на Lan2Net прикладываю -
httр://rusfоlder.com/...

Замечательно... просмотр рекламы окончательно отбивает желание помогать.

[juceser]

Все верно. Тема Linux Для меня новая, маршрутизацией я тоже не занимался.
Поэтому и прошу совета. На форуме здесь часто встречаются и сообщения от совсем начинающих, написанные
простым, обыденным и, зачастую, непонятным для профессионала языком.
Все проходят через этап обучения.

Я спрашиваю совета не сразу и не просто так. Промучился я с этой проксей уже долго и, полагаю, если бы в моем случае была простая сеть с прямым выходом в Инет, то у меня все бы получилось по инструкции. Однако это новая для меня организация и новая для меня тема. Не уверен также, что все у них было настроено и работает правильно.

По rusfolder согласен, если есть предложения по выводу картинок на другой ресурс, готов делать это на другой ресурс.
К сожалению, прикладывать сообщения к этому форуму допускается только в количестве 2-х штук. Иначе я бы приложил все прямо сюда.

Сейчас я приложу сюда два файла с Rusfolder для удобного чтения.

Очень прошу помощи по существу вопроса. Полагаю, что без просмотра схемы сети будет ничего не понятно. Поскольку схема сложная, с множеством VLAN и сегментацией сети. Это не прокси, подключенная непосредственно к модему или оптике провайдера и я не имею возможности включить ее напрямую.
На другой площадке я поставил Kerio и там у меня не было необходимости все настраивать вручную, но здесь хочется все сделать правильно и красиво и пользуясь универсальным средством.

Этот форум безусловно самый популярный в этой теме и автор инструкции вряд ли ответит ранее чем специалисты здесь. К тому же вопросы у меня не по инструкции. Я настраивал проксю изначально в нашей сети с адресом 172.16.2.70 и у меня все работало. Я подключил ее к домену, но через squid траффик у меня отказался бегать, только через NAT. А когда я его отключил, перестал совсем ходить через web, хотя пинги на внешние адреса проходили. После этого я перенес его в серверную и поменял адреса интерфейсов чтобы проверить в реальных условиях.
Принципиально хотелось бы понять - проблема в настройке интерфейсов и маршрутизации на проксе или в настройке маршрутизации на каком-то из роутеров. Ведь я заведомо не хочу еще вдаваться в настройки iptables, хотя этим видимо все равно придется заниматься, ведь нужен будет не толькол web-трафик, но и трафик для банк-клиентов, vpn и прочего. Но будем действовать последовательно. Пока хочу наладить корректную маршрутизацию из инет до прокси. Далее от прокси по внутренней сети все бегает. С прокси свободно пингуются DNS сервера 172.16.0.50 и 0.21 и сети в 16.2 и 16.5 подсетях и 100 подсеть. По SSH с 2 подсети я свободно управляю проксей. Нет выхода во внешнюю сеть. Почему?

Еще раз спасибо за помощь.

Спасибо за помощь.

[fisher74]

Для начала Вам нужно определиться: прокси Вам нужен или NAT. Это разные, НЕ исключающие друг друга, технологии представления доступа во во внешнюю сеть. А то Вы говорите про прокси-сервер, а по сути проблемы видно, что пытаетесь настроить NAT. В чём различие? Это Ваше домашнее задание.
Для информации: Lan2Net работает в режим NAT (правда прокси в её составе тоже сесть, но не в явном виде)

[juceser]

Спасибо за ответ. Еще раз почитал о разнице между NAT и proxy. Собственно об этом я читал и ранее. Скопипастю самые понятные ответы -
NAT работает на уровне пакетов; получив изнутри пакет с адреса 192.168.0.1, он только меняет на нем адрес отправителя на, скажем 200.201.202.1 и отправляет дальше; получив же в ответ пакет на адрес 200.201.202.1, он перекладывает его вовнутрь, меняет адрес получателя на 192.168.0.1 и, опять же, отправляет дальше. Что лежит внутри пакета - его не волнует. Там может быть http запрос или ответ на него; там может быть ICQшный чат; там может быть вообще P2P - это не его дело.

От себя - Таким образом NAT работает на более низком уровне модели OSI, на транспортном. Proxy работает на прикладном уровне.

http прокси работает на уровне http реквестов. Оно получает от клиента запрос "а вытащи мне с такого-то сайта такой-то файл и отдай мне". После чего вытаскивает этот файл от своего имени (и, неизбежно, со своим адресом), кладет его в свой кэш и отдает клиенту. А чтобы удаленный сервер мог составить себе представление о том, с кем он на самом деле общается, прокси дописывает адрес, с которого был получен запрос, в HTTP_X_FORWARDED_FOR, и информацию о себе в HTTP_VIA.

И еще по прокси -

Его он может обрабатывать с полным знанием дела — кэшировать, фильтровать по URL и контенту, ограничивать, маршрутизировать, авторизовать, и т.д. Часто эти действия требуют таких нетривиальных действий на уровне TCP и других компонентов ОС, что практически невозможны на пакетном уровне NAT или слепом отображении Socks.

Разумеется, нам нужен прокси, а именно squid, чтобы можно было авторизоваться по пользователям из AD, учитывать траффик по ним, фильтровать доступ к ресурсам, фильтровать угрозы и прочее.

А теперь можно практический вопрос? Если Ping проходит из рабочей сети 172.16.2.0 на внешние ip (например ya.ru) и tracert показывает что путь идет через Lan2Net (естесственно, так и настроено), то почему ping с самого Lan2Net не проходит (и даже до Cisco 2821 не доходит)?  Ведь очевидно что физически траффик проходит. Или тогда по пингам и трассировке вообще нельзя судить о проходимости маршрутов? Но то что на новую проксю инет не попадает есть прискорбный факт.

Все-таки очень хотелось бы перейти от теории к практике чтобы что-то стало яснее.

Спасибо.

[fisher74]

Разумеется, нам нужен прокси, а именно squid,

тогда зачем Вы пингованием тестируете создаваемый шлюз?

то почему ping с самого Lan2Net не проходит (и даже до Cisco 2821 не доходит)?  Ведь очевидно что физически траффик проходит.

1. Мы здесь не обсуждаем работу Lan2Net - профиль форума иной.
2. Lan2Net фактически является многофункциональным инструментов, в том числе и файервол. Как он настроен - нам неизвестно... Да и не интересно.

Или тогда по пингам и трассировке вообще нельзя судить о проходимости маршрутов?

Можно и нужно, но необходимо учитывать влияние файерволлов.

Но то что на новую проксю инет не попадает есть прискорбный факт.
...
перейти от теории к практике чтобы что-то стало яснее.

Обратите внимание, скоро будет уже вторая страница темы, а о прокси есть только упоминание. Есть только попытка пропустить через шлюз трафик, который никогда не будет идти через прокси (icmp-протокол кальмаром не обрабатывается). Причём Вы вроде как понимаете, что squid работает только с http...
Диагностики показывающей, что на прокси нет интернета - тоже нет.

[juceser]

На проксе нет интернета хотя бы потому что не проходят и никакие команды apt -get install. И пинги дальше следующего роутера 3com 4200. Причем с порта входа роутера они попадают на порт выхода, но на следующий роутер cisco 2821 не попадают. Я полагаю что приводить здесь конфиги squid преждевременно, поскольку пока ситуация однозначно определяется маршрутизацией и топологией сети. Если я не прав, то я готов привести здесь любые конфиги которые я правил.
Я очень хотел бы понять пока только в чем проблема -в настройках прокси или в недоделанной маршрутизации на каком то из роутеров.
Спасибо.

[fisher74]

На проксе нет интернета хотя бы потому что не проходят и никакие команды apt -get install.

Вы продолжаете путаться в определениях.
В этом случае нет интернета не на прокси, а на самом шлюзе, который фактически является клиентом поставщика интернета. И это НИ КОИМ ОБРАЗОМ не связано с прокси, как таковым.

Разделите задачу на пункты и решайте их по очереди.
Вот так должно выглядеть первичные задачи
1. Настройка доступа в интернет для будущего шлюза. В результате шлюз должен получать доступ в интернет.
2. настройка прокси-сервера. В результате интернет смогут получать клиенты.

Скорее сего, каждый их пунктов придётся разделить ещё на подпункты.

[juceser]

Вы абсолютно правы. Интернета нет именно на шлюза. На прокси сервере в плане железа, а не в плане программы. Очень жаль, что я видимо так пианино пытаюсь донести свою мысль.
Но теперь когда мы определились с проблемой могли бы вы подсказать в какую сторону двигаться? Проблема в одном из роутеров или в самом новом шлюзе? И если для вас были сразу так очевидны мои ошибочные настройки маршрутизации на шлюзе, то может быть вы смогли бы указать мне на них более явно? Я очень надеялся что приведенная мною схема топологии сети достаточно подробная и сможет помочь в определении проблемы. Схема составлена не мной, так же как и структура сети создавалась не мной. Но я надеюсь, что вы, ознакомившись с ней, смогли бы указать на ключевые и, возможно, проблемные точки.
Спасибо за внимание уделенное моей проблеме.
Да, я понимаю что первый пункт разделяется на подпункте настройки маршрутизации н двух соседних роутерах на 4200 Сочи стороны внешней сети и 4950 со стороны внутренней. А также на самом шлюзе. Я сделал все аналогично существующему шлюзе и указал как. Раз не работает, значит либо я где то ошибся либо не довел до конца. Это я и пытаюсь понять с вашей помощью.
Спасибо.

[fisher74]

Схема, конечно, мудрёная.
Я так понял, интернет должен придти через коммутатор 2960, потом коммутатор 4500, дальше 4200G и потом попадает на обсуждаемый шлюз. Или через он прилетает через маршрутизатор 2821?
Внимание вопросЫ:
1. какие из этих элементов находятся под Вашим попечением?
2. на каком из элементов настроен NAT для выхода в интернет.

Рекомендую составить для себя схему прохождения, с указанием vlan-ов и портов. Можно прямо на этой выделить путь красным/синим/зелёным маркером

Скорее всего проблема в том, что сеть 10.12.1.0/24 неизвестна для одного из маршрутизаторов, а точнее того, который предоставляет NAT.

Вообще, подобные схемы выходят за рамки любительской практики, и больше подходят к профессиональным, то есть админам. Профям, даже начинающим, конечно тоже готовы помогать, но, извините, не на таком уровне. Работа сети, сетевая адресация, маршрутизация  - это Ваш хлеб, которым Вы не должны давиться. Если не справляетесь - значит стоит изучить больше и потренироваться на эмуляторах/виртуалках. Я пока вижу, что у Вас проблемы с самой сетью, а не с рассматриваемым шлюзом. К тому же эта сеть построена не на Ubuntu и даже не на linux-системах.

Включите будущему шлюзу ОДИН интерфейс, настройте его (по факту, это будет обычный клиентский комп) и настройте сеть для его работы (правда обычно это делается наоборот). Потом подключите второй интерфейс и добейтесь его полноценной работы в плане окружения. И только потом приступайте к настройке его в качестве шлюза.
Пользователь решил продолжить мысль 19 Апреля 2015, 13:06:17:Не подумайте плохого. Просто я не хочу делать Вам медвежью услугу. Гораздо проще разобраться в чём-то при пуско-наладке, в спокойной обстановке. Нежели при аварийной ситуации, во время квартального отчёта, когда ещё и шеф брызжет в лицо слюной бешенства.

[juceser]

Спасибо за ответ.
Вот трассировка на внешний ip с внутренней подсети 172.16.2.x
Как видно путь проходит через Lan2Net (172.16.10.10).
Ему я в параллель и ставлю новый шлюз с 172.16.20.10 адресом.
Затем попадаем в 3COM 4200 - входной порт 10.12.0.2 (второй, внешний порт на Lan2Net 10.12.0.1).
Почему-то в трассировке мы его не видим.
По аналогии у меня это 10.12.1.2 и я туда попадаю с нового шлюза.
Далее 10.99.1.1 - это выходной порт 3COM 4200. И я туда тоже попадаю.
Маршрутизацию для сети 10.12.1.0 я на роутере 3COM 4200 настроил.
Далее мы попадаем в Cisco 2821 - 10.99.1.2 это ее входной порт.
Вообще, 2821 весьма интересное устройство. У него всего два интерфейса, а не так много как можно подумать из схемы.
Один это вход. А вот выход IP адреса не имеет, а как-то сегментируется на целый ряд адресов и уходит наружу.
при этом он обеспечивает как выход наружу на провайдера, так и связь с другой нашей площадкой, так и какие-то туннели. Во всем этом я пока не разобрался и даже не очень понимаю куда копать.
Могу сказать что CISCO 2821 в моей компетенции и я туда могу зайти.
Могу снять конфу. Могу попробовать поменять что-то, но с опытом руления цисками очень близким к нулю делал бы это с весьма большой осторожностью.
Вообще, не хотелось бы чтобы проблемы были там.
И вы правы, все эти устройства не на Ubuntu.
Я понимаю, все не хотелось бы делать второпях. Меня пока не торопят. Но результат дать рано или поздно тоже нужно.
Еще раз спасибо.

[fisher74]

Вообще, 2821 весьма интересное устройство.

Ничего интересного. Обычный серьёзный маршрутизатор.

У него всего два интерфейса, а не так много как можно подумать из схемы.

Эмммм... по схеме вроде как и начерчено два. Нет?
Судя по надписям внутри есть ещё субинтерфейсы.

А вот выход IP адреса не имеет, а как-то сегментируется на целый ряд адресов и уходит наружу.

угу, называется тегированный. Адреса имеют субинтерфейсы