27.03.2013

8217

SQUID Proxy alle Anfragen weiterleiten

Hallo zusammen

Ich habe einen Windows 2008 Server R2 mit zwei Netzwerkkarten. Auf einer Netzwerkkarte bin ich in einer VLAN mit einem Internetanschluss (das VLAN wird über einen Switch geschaltet), dass andere ist in einem kleinen Übungsnetzwerk (auch über den Switch geschaltet). Im Übungsnetzwerk befinden sich Clients, die noch kein Zugriff zum Internet besitzen.

Nun habe ich einen Proxy eingerichtet und möchte gerne alle Anfragen, die nicht im Lokalen Netz sind, an das andere Netz übergeben sprich:

Ich rufe im IE google.ch auf, die Anfrage wird an den Proxy geleitet, der Proxy überprüft, ob es eine lokale Adresse ist, falls nicht soll die Adresse weiter na das Netz mit dem Internetanschluss weitergeleitet werden.

Wie kann ich das umsetzen?

Danke für eure Antworten

Gruss

gabeBU

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 204033

Url: https://administrator.de/contentid/204033

Ausgedruckt am: 26.11.2024 um 06:11 Uhr

23 Kommentare

Neuester Kommentar

Hab ich das jetzt richtig verstanden? Du hast einen Server, welcher 2 Netzwerkkarten hat. Eine im Internet und eine im Übungsnetz. Nun hast du einen SQUID auf dem Server installiert und möchtest, dass die Clients aus dem Übungsnetz darüber surfen.

Dann brauchst du doch eigentlich am Client nur den Proxy im Browser eintragen und die interne IP des Servers als Gateway konfigurieren.

Oder sehe ich das jetzt vollkommen falsch?

Gruß StyX

Zitat von @gabeBU:

Nun habe ich einen Proxy eingerichtet und möchte gerne alle Anfragen, die nicht im Lokalen Netz sind, an das andere Netz
übergeben sprich:

Der sinn erschließt sich mir zwar nciht, was Du da gennau für ein problem hast, aber du könntest in der squid-conf einfach eine acl anlegen, die alle lokalen ziele blockt.

lks

Echt das geht so einfach? Jetzt fühle ich mich ein wenig veräppelt. Ich habe eben konkret nichts dazu gefunden.

Also ich trage den Proxy bei den Clients ein und trage als Gateway, den Gateway des Internet-Netztes ein?

Gut, dann werde ich das versuchen.

Nein wenn dann musste die interne IP der Servernetzwerkkarte als Gateway eintragen nicht die des Internet-Netzes

Also bei allen Clients zusätzlich die IP der Clients? ...macht mehr Sinn.

Ich fühle mich gerade ein wenig doof, aber danke, ich werde es versuchen.

Hier ein Beispiel:

Server-Netzwerkkarte Internet:

IP: 192.168.0.2
Subnet: 255.255.255.0
Gateway: 192.168.0.1 (Router-IP)

Server-Netzwerkkarte Intern:

IP: 192.168.1.1
Subnet: 255.255.255.0
Gateway: leer

zusätzlich eine feste Route erstellen:

route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.1

Client-Netzwerkkarte:

IP: 192.168.1.2
Subnet: 255.255.255.0
Gateway: 192.168.1.1

Proxy-Einstellung im Browser (Client)
Adresse: 192.168.1.1 Port: "dein Proxy-Port"

So sollte das eigentlich funktionieren, wenn ich dich richtig verstanden habe. probier das mal aus

Aaalso funktioniert noch nicht. Damit ich jetzt das richtig verstanden habe:

Ich habe den DHCP-Bereich geändert. Der neue Standart-Gateway ist die IP-Adresse des Servers im Übungsnetz und beim Squid habe ich jetzt nur eingerichtet, dass er alles öffnet und zulässt.

Standard-Gateway ist total egal, solange Du auf dem Server kein Routing einschaltest. wie man so eine Situation abwickelt hat Aqui schon in einer Anleitung dargelegt, auf die hier mindestens zweimal die wochen hingewiesen wird.

Und wenn die clients nur über den http-proxy gehen sollen, brauchen die ncht einmal ein gateway. Allerdings hat man dann nur ein Klickibunti-internet, d.h. man ist eingeschränkt auf Protokolle, die squid versteht (u.a. http, https, ftp). Alles andere geht nicht.

Ich glaube, du solltest erstmal schildern, was Dein ziel ist, so daß man dann Dir raten kann, was sinnvoll ist oder nciht.

lks

Ach mist, genau das, was da steht ist bei uns fast 1 zu 1 Konfiguriert und trotzdem kommen meine Clients nicht ins Netz! Ärgerlich.

Also was ich möchte:

Ich habe auf einem Switch 2 VLANs konfiguriert:

1. Uebungs-VLAN mit den Clients
2. 1 Server mit einer Domäne und 2 Netzwerkkarten. Auf der ersten Netzwerkkarte ist das Uebungs-VLAN und auf dem anderen ein Netzwerk mit einem Internetanschluss ohne Firewall, direkt mit Router.

Ich möchte nun, dass die Clients über den Server eine Internetverbindung erhalten.

Zitat von @gabeBU:

Ich möchte nun, dass die Clients über den Server eine Internetverbindung erhalten.

was ist für Dich eine Internetverbindung? reines http? Oder doch die ganze Palette an IP-Protokollen, wie TCP, UDP, GRE, ICMP, etc.

lks

Ich glaube, dass wäre am Besten mit allen Protokollen, einfach nur zu übungszwecken.

Zitat von @gabeBU:

Ich glaube, dass wäre am Besten mit allen Protokollen, einfach nur zu übungszwecken.

Dann brauchst Du keinen Tintenfisch, sondern mußt nur das Routing im Server anknipsen und die DNS-Rolle installieren. Dann verteilst Du per DHCP an die Clients den Server als default gateway udn DNS-Server sagst Eurem Internetrouter mittels einer statischen Route noch, welches Netz hinter dem W2K8-server ist.

lks

Ich weiss nicht, ob ich etwas am Internetrouter rumkonfigurieren darf, aber danke, das werde ich versuchen.

Zitat von @gabeBU:

Ich weiss nicht, ob ich etwas am Internetrouter rumkonfigurieren darf, aber danke, das werde ich versuchen.

wenn Du am Router keine statische Route zu dem netz hinter deinem Serve reintragen kannst, funktioniert das nur, wenn Du auf dem Server NAT oder Masquerading machst.

lks

Sooo...habe es nochmals mit NAT versucht, aber ich weiss einfach nicht was ich falsch mache.

Ich habe die richtigen Netze zugewiesen (LAN-Verbindung lokal, Netzwerk dass die Packete in das andere Netzt weiterleiten soll, Netzwerk mit dem Internetanschluss NAT aktivieren und Packete in dieses Packet leiten lassen.) und der Server zeigt mir auch die eingehenden und ausgehenden Packete zwischen der Virtuellen Maschine und dem Server. Ich habe als Gateway-Adresse die Adresse des Servers angegeben.

Trotzdem komme ich mit dem Client immer noch nicht ins Netz. Diesesmal ist es eine Zeitüberschreitung, was ja schonmal bedeutet, dass er die Anfragen weiterleitet.

Moin,

mach mal einen systematischen Test:

Ping vom Client auf die IP-Adresse des Servers (in gleichen LAN).
Ping vom Client auf die IP-Adresse des Servers (außen).
Ping vom Client auf die IP-Adresse des Internet-Routers.
Ping vom Client auf 8.8.8.8.

Dor wo ein Ping nicht geht, machst Du zuzätzlich noch ein "traceroute -n"/"tracert -d" auf die jeweiligen IP-Adressen und schaust, wie weit die Pakete kommen.

Als Bonbon kannst Du währenddessen auf dem Server wireshark oder einen anderen Sniffe rauf beiden Interfaces mitlaufen lassen, um zu schauen, ob die Pakete vom Client korrekt weiterlaufen.

lks

Ping Server LAN Funktionierte

Ping SERVER Internet Auch

Ping Router Internet Hatte eine Zeitüberschreitung. Mit Traceroute habe ich eine verfolgung hingelegt und wie es aussieht, kommt er bis zum Server und dann bekommt er schon nichts mehr. Hier ein Screenshot: http://imageshack.us/photo/my-images/683/tracerteu.png/

Ping 8.8.8.8. auch Zeitüberschreitung. Mit Traceroute das gleiche Ergebnis wie beim Router: http://imageshack.us/f/580/unbenanntyug.png/.

Das Routing funktioniert immer noch nicht. Soll ich mal von allen Einstellungen Screenshots erstellen?

Edit: Ich mach's einfach mal:

IPCONFIG's:

IPCONFIG Server:

IPCONFIG Client:

NAT EInstellungen:

NAT Einstellungen allgemein

NAT DHCP:

NAT DNS:

NAT Einstellungen einzelne LAN-Verbindungen

NAT LAN-Verbindung 1:

NAT LAN-Verbindung 2:

Edit2: Sooo ich hoffe die Bilder sind jetzt direkt drin. Formatierung ist am arsch, aber man erkennt alles und stundenlange da noch rumfuchsen möchte ich jetzt auch nicht^^.

Bau mal alle Bilder hier im Forum in deine Anwtort ein. Wenn Du oben auf Beitrag bearbeiten gehst, kannst Du Bilder hochladen und dann in deine Kommentare aufnehmen. es ist etwas mühselig, wenn ich aller Bilder bei Imageshack druchklicken muß.

hier fällt mir auf, daß ein router antwortet, der keine RFC1918-Adresse hat. Ist das wirklich so konfiguriert?

Poste mal Deine Netzwerkeinstellungen.

lks

Die Netzwerkeinstellungen sollten auch drin sein. Wenn du noch die TCP/IPv4 Einstellungen brauchst:

IPv4 Server LAN:

IPv4 Server Internet:

NetRange: 192.254.0.0 - 192.254.15.255
CIDR: 192.254.0.0/20
OriginAS:
NetName: NETBLK-GROUP-HEALTH
NetHandle: NET-192-254-0-0-1
Parent: NET-192-0-0-0-0
NetType: Direct Assignment
RegDate: 1992-11-16
Updated: 2004-12-13
Ref: http://whois.arin.net/rest/net/NET-192-254-0-0-1

Diese Netz ist nicht für private Verwendung gedacht. Das solltest Du nochmal überdenken. Lies Dir den RF1918 nochmal durch und dann kannst Du einen neuen Anlauf machen.

PS: Mach mal ein ipconfig/all und poste die Ausgabe.

Sorry, hatte lange keine Zeit.

Ist ja auch ein Geschäftsnetz meiner Firma, ich darf aber darin "rumpröbeln" also ist es kein Problem :3.

IPCONFIG /all Client:

IPCONFIG /all Server (Seite 1):

IPCONFIG /all Server (Seite 2):

Sollte alles drauf sein.

Gruss

GabeBU

PS: Ehrlichgesagt...was genau ist ein RF1918^^? Das habe ich noch nie gehört...

Zitat von @gabeBU:

...
Sollte alles drauf sein.

ein

ipconfig /all >ipconfig-all.txt

hilft Dir alles in eine Textdatei zu schreiben, so daß Du das einfach per copy/paste in code-tags setzen kannst. Dann brauchst Du Dich mit screenshots & Co. nicht herumzuärgern.

Wie ich vermutete hast Du tatsächlich das netz 192.254.210.0/24 genommen, was für private Benutzung nicht vorgesehen ist. das führt dazu, daß alle pakete ab Eurem Router irgendwo ins Nirvana geschickt (zumindest macht das die Telekom an meinem Anschluß).

Ändere das mal in 192.168.210.0/24 oder so. Stell aber vorher sicher, daß da nicht andere Netze damit kollidieren. Generell soltest Du Dich erstmal in die Thematik der IP-V4-Adressen einlesen. Stoff dazu findest Du z.B. bei der Netzmafia. Auch wenn dort einiges an veralteter information steht, sind die Skripten dort immer noch ein guter Einstieg in das Thema. Ohne minmales theoretsiches Grundlagenwissen, ist so ein Versuch ohne Anleitung/Lehrer zum scheitern verurteilt. Ja, vor dem erfolge steht erstmal harte Arbeit. Und sei es nur, sich durch Seitenlange Texte zu wühlen.

PS: Ehrlichgesagt...was genau ist ein RF1918^^? Das habe ich noch nie gehört...

Dann wird es Zeit, Dir dieses Wissen anzulessen:

Das sagt google zu rfc1918

Und Wikipedia sagt das zu RFC und dieses zu RFC1918. das ist mal ein guter Einstieg, auch wenn die deutsche Wikipedia inzwischen verlottert ist.

Ach soo...jetzt versteh' ich was du meinst, das hatte ich alles auch schon mit den Privaten adressen...aber ich dachte, das sollte kein Problem sein, da das Netz,dass an den Internetanschluss angeschlossen ist, natürlich einen Router zwischen der externen und der internen adresse steht.Dachte das ist kein Problem...das erklärt vieles^^.

Edit: Sorry, ich hatte das alles in der Berufsschule nur habe ich es jetzt länger nicht mehr direkt genutzt, deshalb geriet es in Vergessenheit. Danke für die Auffrischung :3.

Edit2: Sooo nochmal alles mit anderen IP-Einstellungen eingerichtet und jetzt komme ich nicht mal mehr zum Server...

Routenverfolgung zu www.google.ch [74.125.232.152] ber maximal 30 Abschnitte:

  1  Z317UEVM01.UEB.LOKAL [192.168.210.2]  meldet: Zielhost nicht erreichbar.

Ablaufverfolgung beendet.

Hätte nicht gedacht, dass das so eine Zangengeburt wird...

Frage Netzwerke Router, Routing

Mehr von gabeBU

NGINX Loadbalancer leitet Anfrage nicht an VMWare Connection Server weitergabeBU - 4 Kommentare

Kein Zugriff auf SMB-Share über Windows 10 GerätgabeBU - 11 Kommentare

Update von Windows 7 Enterprise zu Windows 10 nicht möglichgabeBU - 25 Kommentare

Azure AD unattended Access: Contacts bearbeiten?gabeBU - 5 Kommentare

Heiß diskutiert