Squid mit 2 Netzwerken (Routern)

Hallo liebe Gemeinde,

als neues Mitlied möchte ich mich kurz vorstellen. Ich mache zur Zeit eine Ausbildung zum Fachinformatiker. Für Test- und Übungszwecke habe ich mir Zuhause eine Netzwerk aufgebaut. Mehr dazu im folgenden:

Netzwerk 1 (Keller)
IP 192.168.1.0/24:

Server 1:
Windows Server 2008 R2
DNS - IP 192.168.1.21

Server 2:
Debian 5.0
Squid 2.7 - IP 192.168.1.24

NAS- Server:
QNAP 410
IP 192.168.1.23

Router 1:
Linksys Cisco RV082 - IP 192.168.1.1
Ich verwende diesen Router, weil ich zwei Internetanschlüsse habe.

Die beiden Server sowie meine Workstation sind auf dem Router 1 aufgelegt.

Netzwerk 2 (Erdgeschoss)
IP 192.168.2.0/24

Router 2:
Linksys Cisco WRT160N (4- Port WLAN- Router)

Dieser Router ist mit einem LAN- Kabel zum Router 1 im Keller verbunden.

Einstellungen im Router 2:
Internet -----> IP 192.168.1.2/24 (IP aus Netz 1), Gateway 192.168.1.1, DNS 192.168.1.21

Soweit so gut. Ich komme mit den Client im Erdgeschoss und Keller ins Internet.

Wenn ich allerdings den Prox aktiviere, scheitere ich am Netz 2 (192.168.2.0). Mit den IP- Adressen aus Netz 1 (192.168.1.0) läuft alles bestens. Nachfolgend meine ACL's aus der squid.conf:

acl eltern src 192.168.1.21 192.168.1.24 192.168.1.51 192.168.1.61 192.168.1.62 192.168.2.161 192.168.2.162 # Eltern
acl kinder src 192.168.1.1 192.168.2.1 192.168.2.51 192.168.2.52 192.168.1.63 192.168.2.163 # Kinder

acl zugriff_werktag time MTWHF 15:30-18:30 # Zugriffszeiten Werktags
acl zugriff_wochenende time AS 13:30-18:30 # Zugriffszeiten Wochenende

acl wikipedia url_regex -i "/etc/squid/wikipedia.conf"

acl youtube_time_1 time MTWHFAS 00:00-17:00 # Zugriffszeiten Youtube vormittags
acl youtube_time_2 time MTWHFAS 17:30-23:59 # Zugriffszeiten Youtube Abends
acl youtube_domain url_regex -i "/etc/squid/youtube.conf"

http_access allow wikipedia
http_access deny kinder youtube_domain youtube_time_1
http_access deny Kinder youtube_domain youtube_time_2
http_access allow kinder zugriff_werktag
http_access allow kinder zugriff_wochenende
http_access allow eltern

Hat jemand eine Idee? Vielleicht habe ich auch nur einen Denkfehler. Aber ich denke, dass das Problem am NAT des Routers 2 liegt.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 142240

Url: https://administrator.de/contentid/142240

Ausgedruckt am: 25.11.2024 um 06:11 Uhr

12 Kommentare

Neuester Kommentar

Das Problem ist das dein Router 2 vermutlich NAT macht am WAN Port und du deshalb Schiffbruch erleidest !! Dadurch taucht dein Netzwerk 192.168.2.0 mit der IP Adresse 192.168.1.2 des WRT Routers auf und Squid sieht rein gar nix von den Paketen !!
Du müsstest ein transparentes Routing dafür machen, was der WRT160N vermutlich nicht macht da das NAT bei ihm nicht abschaltbar ist

.
Lies dir dies Tutorial durch, dann weisst di wo das Problem liegt:
Kopplung von 2 Routern am DSL Port
bzw.:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Wie sieht dein Netzwerk genau aus ?? So...??

Mögliche Lösung:
WRT 160 rausschmeissen und 2te Netzwerkkarte in den Debian Server rein und über den routen und den WRT-160 für das .2.0er netz zum dummen WLAN Accesspoint machen !
Wie das geht steht hier:
Kopplung von 2 Routern am DSL Port

Ansonsten eine Alternative überlegen die transparentes Routing am Router 2 macht: (siehe Tutorial oben)
Mikrotik 750 (30 Euro)
WRT-54 mit DD-WRT Firmware
Monowall, PFsense usw.

Hi,

bei deinem Router2 (Linksys Cisco WRT160N ) kannst du unter Setup --> Erweitertes Routing --> Nat deaktiviern!

CU

Quelle : http://www.linksysbycisco.com/DE/de/products/WRT160N --> Benutzerhandbuch --> Chapter 3 --> Advanced Routing

@aqui
Ja, so sieht mein Netzwerk aus.

@goofy6771
Das habe ich schon gemacht. Danach funktionierte für das Netz 192.168.2.0 kein Internet mehr.

Ich habe jetzt mehrere Lösungsansätze von euch, welche ich heute abend testen werde.

Zusätzliche Möglichkeiten wären:
1. Subnetzmaske für den Proxy von 255.255.255.0 auf 255.255.240.0 zu ändern. Damit gehören beide Netze für den Proxy zu einem Netzwerk.
2. Die ACL- Listen in der squid.conf um die Einträge acl localnet src 192.168.1.0 und acl localnet src 192.168.2.0 ergänzen.

Ob und inwiefern eine der hier gezeigten Lösungen greift, werde ich heute abend hier mitteilen

Hast du auch eine Statische Route von Router 1 nach Router 2 gemacht?

Yup. Der WAN- Port des 2. Routers liegt auf einem LAN- Port des 1. Routers. Bei den Interneteinstellungen des 2. Routers habe ich eine IP des ersten Netzes eingetragen. Wie gesagt, so läuft das ganze sauber (LAN und WLAN). Nur der Proxy im 1. Netz macht mir Kopfschmerzen.

Kannst du mal die Routen die auf dem 2tem Router eingtragen sind posten. Ich denke wie goofy6771 es liegt daran, dass du eine statische Route ins 1 Netzt definieren musst.

Eine Kleinigkeit ist mir aufgefallen. Einer der T-Online- Router für das Internet hatte die IP 192.168.2.1/24 - also die selbe, die ich für den Router WRT160 vergeben habe. Für diesen habe ich die IP nun auf 192.168.2.11/24 geändert. Allerdings hilft das huer nicht wirklich weiter.

Habe mal von beiden Routern Screenshots der Routing- Tabellen erstellt.

Routingtabellen

Äääähhh..."T-Online Router" ??? Was ist denn das jetzt wieder Neues...sowas gibts doch gar nicht in deinem Netz ?? Du hast doch nur Linksys und keinen Speedport Schrott, oder ?? Oder hast du etwas vor dem RV-82 noch einen Router den du NICHT im Setup auf PPPoE Passthrough als dummes Modem eingestellt hast.
Wenn ja, und der Router arbeitet auch im 192.168.2.0er Netz und diese Info hast du uns unterschlagen hier dann setzt's aber Prügel denn damit hast du uns ja schön ins offene Messer rennen lassen.
Ist dem so hast du einen Erstklääsler IP Designfehler gemacht. Wie jeder Grundschüler in der ersten Klasse lernt müssen IP Netze in einem Netzwerk einzigartig sein !!! Folglich hättest du dann 2 mal das IP Netz 192.168.2.0 und ein sinnvolles Routing wäre somit unmöglich !!! Das weiss ja jeder IP Laie

Logischerweise müsste dann dein Netzwerk hinter dem WRT-160 die 192.168.3.0 /24 sein !
Aber sicher hast du uns ja nicht mit so einem Anfängerfehler in den Wald geschickt....hoffentlich ?!
Wehe also wenn es so aussieht:

(Allerdings ist hier das 3te Netz schon korrekterweise geändert !)

Und... was soll bitte sehr "..Bei den Interneteinstellungen des 2. Routers habe ich eine IP des ersten Netzes eingetragen..." Eine Phanatsie IP oder was soll das ??
Die Routing Tabelle des WRT-160 ist korrekt !
Die des RV-082 is kompletter Unsinn, da hast du was vollkommen falsch konfiguriert, deshalb klappt es auch nicht.
Wenn du dir hier die statische Route ins 192.168.2.0er Netz ansiehst dann ist als next Hop Gateway dafür die Interfaces "ixp" und "ipsec" eingetragen mit aktiver default Route... D.h. Pakete die eigentlich an die IP des WRT-160 192.168.1.2 gehen sollen (..denn der bedient ja das 192.168.2.0er Netz !!) Gehen irgendwo am RV-082 ins Nirwana... Logisch das dann nix klappt.
RICHTIG muss folglich in der Routing Tabelle des RV-082 stehen:
Destination IP: 192.168.2.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.2
Hop Count: 1
Interface: ixp0
Lösch also den ganzen vermurksten Mist in der Statischen Routing Tabelle des RV-082 mit dem Netzwerk 192.168.2.0 und trage eine einzige Route mit den o.a. Daten ein ! Check die Routing Tabelle und gut ist !!

P.S.: Hast du übrigens bemerkt das es hier im Forum auch einen tollen Bild Upload gibt ??? Origanlthread auf "bearbeiten" klicken, Bild hochladen, Bild URL cut and pasten, URL hier posten ! So einfach ist das und man kann sich den Unsinn mit externen Bilder Links sparen...

Mea Culpa

. Ich habe ein ganz schlechtes Gewissen und schäme.

Den Fehler mit dem Speedport habe ich ja selber schon bemerkt. Und . . . . . . . naja, dass ich in der Ausbildung bin habe ich Eingangs erwähnt. Da können solche dummen Fehler nunmal passieren. Ein schlechtes Gewissen habe ich dennoch

.

Nichts desto trotz, auf ein Neues:

WRT160 (WAN- Port) -------> RV082 (LAN- Port)
WRT160: IP 192.168.3.1/24
RV082: IP: 192.168.1.1/24
Statische Routen waren/sind bis dato keine eingetragen, weder am WRT160, noch am RV082.

WRT160:
Internet ------> Statische IP 192.168.1.2/24, Gateway 192.168.1.1

Über den Router WRT160 komme ich raus und bekomme auch Antwort (Ping und nslookup). Alle Rechner in den beiden Netzen sind erreichbar.
Allerdings funktioniert das Ganz nicht umgekehrt. Ich kann aus dem Netz 192.168.1.0 keinen Rechner im Netz 192.168.3.0 anpingen.

Jetzt kommt Dein Vorschlag mit der statischen Route für den Router RV082:

Destination IP: 192.168.2.0
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.2
Hop Count: 1
Interface: ixp0

Das verstehe ich jetzt überhaupt nicht. Warum 192.168.2.0? Kannst Du mir das erklären?

Das mit dem Bildupload muss ich mir noch näher zu Gemüte führen:

http://www.fa-wiki.de/router/RV082_routing.gif

Hi

noch mal,

RV0820:

Destination IP ist das Netz, in das du Routen möchtest! --> 192.168.3.0
Subnet Mask --> Hier kommt das Subnet Mask vom Netz 192.168.3.0 rein --> 255.255.255.0
Default Gateway, is dafür, damit der Router 1 weis, wo er das Netz 192.168.3.0 erreichen kann, also über deinen Router 2 mit der IP 192.168.1.2

Working Mode: Gateway --> Da ja dein I-net dran hängt

Interface musst du auf Lan stellen, weil du ja im Lan routest!

WRT 160:

WanIP: 192.168.1.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
DNS: 192.168.1.21

Working Mode: Router --> Wichtig!!! (NAT deaktivieren)

LanIP: 192.168.3.1
Subnet Mask: 255.255.255.0

Klar soweit?

Dein Kardinalsproblem ist:
Der Speedport ist für so ein Szenario nicht geeignet denn er supportet keine statischen Routen !! Hier müsstest du für transparentes Routing zwingend 2 statische Routen einmal zum 192.168.1.0er Netz und einmal zum 192.168.3.0er Netz eintragen, was aber technisch nicht geht da Speedport Schrott ist und das nicht kann

Also Workaround hast du 2 Optionen:
1.) Konfigurieren den Speedport über sein Setup Menü und dem Menüpunkt PPPoE Passthrough zu einem dummen DSL Modem. Konfigurieren den WAN Port des RV-082 statt DHCP auf "PPPoE" trage hier deine Provider Einwahldaten ein und nutze den RV-082 als aktiven Internet Router und den SP nur als Modem. Das ist technisch die beste Lösung.

2.) Schmeiss den Speedport komplett raus und besorg dir ein preiswertes NUR Modem:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
und verfahre wie unter Punkt 1

Noch elegantere Lösung:
Du investierst in ein kleines ALIX Board oder nimmst einen ollen PC und installierst darauf eine PFsense Firewall:
http://www.nwlab.net/tutorials/m0n0wall/m0n0wall-dsl-router.html
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
schliesst diesen mit dem Speedport als Modem oder Einzelmodem ans DSL an und die Kinder und dein Netz and die 3 Ports an und nutzt den Speedport als dummen WLAN Accesspoint:
Kopplung von 2 Routern am DSL Port
Oder....gleich deinen Debian Squid Server mit 2 Netzwerkkarten und nimmst den als Router....
Es gibt viele Wege nach Rom....

Wegen Zeitmangel erst jetzt die Rückmeldung

.

Erst mal Dank für die Unterstützung. Ich habe das Problem nun wie in aqui's ersten Post beschrieben so gelöst, indem ich den Router im Erdgeschoss zu einem W-LAN- Access- Point gemacht habe. Alle Clients befinden sich nun im selben Netz. Die Speedports sind nach wie vor aktiv, Ich habe bei beiden DHCP aktiviert und mit den WAN- Ports des RV082 verbunden. Nun läuft das ganze rund.

gelöst Frage Linux

Mehr von Bulletproof

Domänenanmeldung ohne NetzwerkBulletproof - 8 Kommentare

Heiß diskutiert