Proxy Verlagerung
Existierender Proxy soll verlagert werden
Hallo Admin Kollegen
Ich hab hier ein Problem mit einer Verlagerung des existierenden Proxys.
Normalerweise ist sowas ja nicht so wild ABER:
Zum einen gibt es hier noch eine Windows NT4 Domäne, zum anderen kein DHCP..
Die Clients dürfen nicht angefasst werden - sind ca. 250 rechner (Win2000 und XP)
Der Proxy ist im LAN beheimatet - und soll eigentlich schon seit 3 Jahren in die DMZ umgezogen sein...
Jetzt ist es so, dass eben seit diesen 3 Jahren immer wieder die Internet Verbindung ausfällt.
IIch hab mir auf dem proxy server (Suse Linux Enterprise Server 9 mit Squid) mal die Logs angesehen -
Seit Jahren treten immer wieder massive TCP Verbindungs Abbrüche zwischen dem Proxy und der Trend Micro Viruswall auf.
Dann fällt eben für das ganze Haus die Internet Verbindung aus...
Das wurde offensichtlich aber nie bemerkt oder Beachtet (Ich habe es auch erst nicht sofort gemerkt)
Erst dachte ich das liegt an dem Server - der nie gepacht wurde - weder der Suse Enterprise Server 9 oder der alte Squid (2.5)
Ich habe dann einen neuen aufgesetzt - Suse Enterprise Server 10 und Squid 2.7 jewiels neuester Stand.
Das lief soweit alles ok - bis ja bis dann Tage später wieder Ausfall war.
Ein lastverhalten schliesse ich aus - das ganze hängt an einer Cisco ASA übe rGigabit Interfaces - und die switch interfaces sind ebenfalls Gigabit - und "sauber"
Auftreten - absolut unregelmässig ; kann Wochenlang gutgehen ...und dann....
Die Trend Micro Viruswall habe ich auch schon ausgeschlossen - Ich habe einen Suse Linux Enterprise Server 10 aufgesetzt und Trend Micro Viruswall 6 drauf;
Selbes Problem..
Ich hab Tagelang mitgesniffert - abe rnix gesehen - auch die Firewall Logs geben nichts her...
Der Weg der Verbindung sieht so aus:
Proxy im LAN - dann weiter auf eine Interscan Viruswall (Trend Micro) die in einem DMZ segment ist.
Dann weiter ins Internet raus.
Jetzt fällt mir nur noch ein den proxy ins DMZ Segment reinzunehmen - was zum problem führt...
Gibt es eine möglichkeit den proxy zu Verlagern - aber das die Clients weiter auf die bisherige IP Adresse zugreifen können - sozusagen eine Art proxy Relais ?
Ich hab natürlich schon "gegoogelt" abe rnix wirklich relevantes gefunden.
Hat jemand zu den sporadischen TCP Verbindungsabbrüchen eventuell eine idee...
Anmerkung: Ich hab das bestehende Netz hier erst am 8 Dezember letzten jahres übernommen... das zur Klarstellung......
Und ja...Abreissen und Neumachen....hab ich auch schon Vorgeschlagen
Wäre über Tips und Kommentare dankbar.
schöner Gruß
Mopedmax/Christian
Hallo Admin Kollegen
Ich hab hier ein Problem mit einer Verlagerung des existierenden Proxys.
Normalerweise ist sowas ja nicht so wild ABER:
Zum einen gibt es hier noch eine Windows NT4 Domäne, zum anderen kein DHCP..
Die Clients dürfen nicht angefasst werden - sind ca. 250 rechner (Win2000 und XP)
Der Proxy ist im LAN beheimatet - und soll eigentlich schon seit 3 Jahren in die DMZ umgezogen sein...
Jetzt ist es so, dass eben seit diesen 3 Jahren immer wieder die Internet Verbindung ausfällt.
IIch hab mir auf dem proxy server (Suse Linux Enterprise Server 9 mit Squid) mal die Logs angesehen -
Seit Jahren treten immer wieder massive TCP Verbindungs Abbrüche zwischen dem Proxy und der Trend Micro Viruswall auf.
Dann fällt eben für das ganze Haus die Internet Verbindung aus...
Das wurde offensichtlich aber nie bemerkt oder Beachtet (Ich habe es auch erst nicht sofort gemerkt)
Erst dachte ich das liegt an dem Server - der nie gepacht wurde - weder der Suse Enterprise Server 9 oder der alte Squid (2.5)
Ich habe dann einen neuen aufgesetzt - Suse Enterprise Server 10 und Squid 2.7 jewiels neuester Stand.
Das lief soweit alles ok - bis ja bis dann Tage später wieder Ausfall war.
Ein lastverhalten schliesse ich aus - das ganze hängt an einer Cisco ASA übe rGigabit Interfaces - und die switch interfaces sind ebenfalls Gigabit - und "sauber"
Auftreten - absolut unregelmässig ; kann Wochenlang gutgehen ...und dann....
Die Trend Micro Viruswall habe ich auch schon ausgeschlossen - Ich habe einen Suse Linux Enterprise Server 10 aufgesetzt und Trend Micro Viruswall 6 drauf;
Selbes Problem..
Ich hab Tagelang mitgesniffert - abe rnix gesehen - auch die Firewall Logs geben nichts her...
Der Weg der Verbindung sieht so aus:
Proxy im LAN - dann weiter auf eine Interscan Viruswall (Trend Micro) die in einem DMZ segment ist.
Dann weiter ins Internet raus.
Jetzt fällt mir nur noch ein den proxy ins DMZ Segment reinzunehmen - was zum problem führt...
Gibt es eine möglichkeit den proxy zu Verlagern - aber das die Clients weiter auf die bisherige IP Adresse zugreifen können - sozusagen eine Art proxy Relais ?
Ich hab natürlich schon "gegoogelt" abe rnix wirklich relevantes gefunden.
Hat jemand zu den sporadischen TCP Verbindungsabbrüchen eventuell eine idee...
Anmerkung: Ich hab das bestehende Netz hier erst am 8 Dezember letzten jahres übernommen... das zur Klarstellung......
Und ja...Abreissen und Neumachen....hab ich auch schon Vorgeschlagen
Wäre über Tips und Kommentare dankbar.
schöner Gruß
Mopedmax/Christian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 140591
Url: https://administrator.de/contentid/140591
Ausgedruckt am: 20.11.2024 um 08:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
das ist überhaupt kein Problem:
Auf der alten IP muss ein Rechner lauschen. Dann gibt es zwei Varianten:
1. Parent Proxy:
Im internen Netz steht ein Proxy, der alles auf den Parent-Proxy in der DMZ weiterschickt.
2. Source NAT:
Du richtest auf dem Proxy-Port ein Source-NAT ein. Dadurch wird alles weitergeschickt auf den neuen Proxy.
Phil
das ist überhaupt kein Problem:
Auf der alten IP muss ein Rechner lauschen. Dann gibt es zwei Varianten:
1. Parent Proxy:
Im internen Netz steht ein Proxy, der alles auf den Parent-Proxy in der DMZ weiterschickt.
2. Source NAT:
Du richtest auf dem Proxy-Port ein Source-NAT ein. Dadurch wird alles weitergeschickt auf den neuen Proxy.
Phil
Hallo MopedMax,
zu Punk 1:
Google parent proxy squid:
http://www.christianschenk.org/blog/using-a-parent-proxy-with-squid/
zu Punk 2:
Der einfachste Weg ist, fwbuilder zu nutzen. Dort kannst Du ein IPTables-Script für Linux erzeugen. Dort legst Du eine Regel an, die eingehende Verbindungen auf dem Proxy-Port weiter"natted".
Phil
zu Punk 1:
Google parent proxy squid:
http://www.christianschenk.org/blog/using-a-parent-proxy-with-squid/
zu Punk 2:
Der einfachste Weg ist, fwbuilder zu nutzen. Dort kannst Du ein IPTables-Script für Linux erzeugen. Dort legst Du eine Regel an, die eingehende Verbindungen auf dem Proxy-Port weiter"natted".
Phil