Zwangsproxy für die User Einstellen

[Canny]

Hallo,

ich nutze einen Lancom 1711 VPN mit der aktuellen Firmware. Dort habe ich an der WAN Schnittstelle einen UMTS Router dran, der die Einwahl tätigt. Nun möchte ich aber, dass die User über einen Proxy ins Internet gehen sollen. Dieser soll aber nicht bei jedem User im Browser eingestellt werden.

Kann mir bei der Konfiguration jemand helfen?? Ich verzweifele langsam daran!!

Gruß
Canny

[Fully]

Hallo Canny,

das Zauberwort heißt "Policy-based Routing", im LANCOM Referenzhandbuch der Abschnitt 7.2.2.

Da ist genau Deine Fragestellung beschrieben.

Gruß Fully

[Canny]

Hallo,

das habe ich in einem anderen Beitrage auch schon gelesen. Bloß was wie Einstellungen muss ich genau machen. Ich habe es schon mit dem Referenzhandbuch versucht. Leider ohne Erfolg. Ich weis zum Beispiel nicht wo ich die Gegenstelle Proxy einrichten muss. Könnte mir einer das Schritt für Schritt erklären?

Schon einmal Vielen Dank im Voraus.

Gruß
Canny

[Fully]

Hallo Canny,

nun, das Bild im Handbuch ist recht allgemein, es heißt ja auch "Quelle: lokales Netz" in einer Firewall-Regel. Die Gegenstelle "Proxy" ist einfach die IP vom Proxy. In der Routingtabelle kann man auch einfach Adressen als Gegenstelle eintragen, bekommt aber den Hinweis, dass diese Adresse nicht als Gegenstelle bekannt ist. Den Hinweis sollte man mit "OK" akzeptieren, damit die IP auch da landet wo sie hin soll.

Neben den zwei Default-Routen (eine mit Tag 1), sind die beiden Firewall Einträge entscheidend für die Funktionalität.

Wenn das nicht hilft, bitte noch einmal nachfragen. Evtl. das Szenario konkretisieren, das macht es leichter.

Gruß Fully

[ittk]

Hi,

damit sollte es moeglich sein:

http://www.lancom-forum.de/htopic,517,t ... html#12522

und ggf noch

http://www.lancom-forum.de/htopic,4008, ... proxy.html

[Ein-Stein]

Hi @ all,

also ich würde mich gerne diesem Theard anschließen. Ich beschreibe mal eben meine Lage, was ich wo gemacht habe und wo für.
Das ganze sollte so ziemlich diesem Beitrag entsprechen, da ich ebenfalls mit dem LCOS Referenzhandbuch /7.2.2 gearbeitet habe
und auch hier etwas im Forum gestöbert habe.

Ausgangsposition:
- 2 Internetleistungen zusammengefasst als Loadbalancing (LB)

IP-Routing-Tabelle:
IP-Adresse Netzmaske RT Router
255.255.255.255 0.0.0.0 1 91.184.XXX.XXX
255.255.255.255 0.0.0.0 0 LB

Firewall-Regeln:
- Regel 1:
Quelle: Intranet
Ziel: Alle
Aktion: Übertragen
Port: HTTP
Tag: 1

- Regel 2:
Quelle: 91.184.XXX.XXX
Ziel: Alle
Aktion: Übertragen
Port: HTTP
Tag: 0

Wenn ich das so einstelle im 1711er VPN, dann gehen aus irgendwelchem Grund alle HTTP-Seiten nicht, aber verschlüsselte Seiten mit HTTPS, FTP usw. gehen.
Zum Proxy, der befindet sich auf Port 80.

Ich bin Ratlos und versuche es nun schon seit einigen Wochen. Eine Frage habe ich noch zwischendurch, was muss bei Maskierung in der IP-Routing Tabelle rein? Freue mich, hoffentlich genau so wie Canny auf eine Antwort.
Danke im Voraus.

euer

Ein-Stein

[Ein-Stein]

Hallo,

keiner der mehr helfen kann?
Canny kannst du sagen, ob´s bei dir geht?

Ich habe jetzt 2 schlaflose Nächte hinter mir und kann ehrlich nicht mehr.


Würde mich eventuell auf Tipps oder Hilfe freuen, im Beitrag davor habe ich geschrieben was ich eingestellt habe.

Gruß und schönes Restwochende,

wünscht
Ein-Stein

[gm]

Hi,

falls Du als Proxy squid verwendest, brauchst Du zunächst mal einen funktionierende Installation (z.B. ACL's richtig setzen). Ob der Proxy funktioniert kannst Du prüfen, wenn Du Ihn zum Test händisch auf einem Client im Browser einstellst und dann probierst, ob das Internet funktioniert.

Zusätzlich musst Du in der squid.conf folgende Optionen setzen.

Code: Alles auswählen

httpd_accel_host virtual 
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Diese Einstellungen sorgen dafür, dass sich squid als transparenter Proxy verhält.

Bei mir ist die Linuxmaschine mit dem Proxy gleichzeitig auch der Router, wo alles drüberläuft. Hier ist folgende Einstellung an der Firewall (iptables) notwendig:

Code: Alles auswählen

iptables -A PREROUTING -t nat -p tcp --dport 80 -d ! 192.168.1.1 -j REDIRECT --to-port 3128 

Dies lenkt allen Traffic aus dem Netzwerk 172.24.1.0/24 mit dem Zielport 80 auf den lokalen Port 3128 (squid).
Bei Dir dürfte der Traffic über den LANCOM laufen. Daher musst du zunächst für alle Pakete mit dport 80 die Linuxmaschine per policy based Routing als Gateway hinterlegen. Dann kannst Du auf der Linuxkiste den Aufruf von iptables machen (siehe oben).

Gruß
gm

[Ein-Stein]

Hallo,

ich nutze "FreeProxy" ... ist ein Proxyserver für Windows-Systeme.
Ich werde mal Squid installieren ... und deine Schritte beachten, eventuell klappt es dann. Ich sollte mich auf jeden Fall heute Abend melden.

Gruß

Ein-Stein

[gm]

Hi Ein-Stein,

...ich nutze "FreeProxy"...

ähm, glaube fast nicht, dass "FeeProxy" das (transparenter Proxy) kann.

...Windows-Systeme...

Oh je... Hast Du Dir schon mal überlegt, wie Du "iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-port 3128" mit Windows hinbekommst? Ferner bin ich mir nicht sicher, ob squid unter Windows seine volle Funktionalität hat.

Mein Tip:
Nimm Linux (egal ob in einer VM oder als extra Rechner) und dann klappt es. Wenn Du mit vi fit bist, kannst das System im absoluten Minimalmodus plus squid installieren, dann noch /etc/squid/squid.conf anpassen und /etc/sysconfig/SuSEfirewall2 anpassen. Fertig. Aber wie gesagt, auskennen musst Dich schon mit Linux, sonst wird das nix.

Gruß
gm

[Ein-Stein]

Hallo,

jaja Linux .. bin gerade dabei Debian zu installieren, habe auch schon

apt-get install squid gemacht und bin nun am konfigurieren.

Melde mich nochmal wenn ich Fertig bin ... hier Gewittert das aus allen Wolken, werde erstmal alles aus machen, wenns vorbei ist dann weiter.

Gruß

Ein-Stein.

[Ein-Stein]

Hallo,

Squid ist jetzt drauf auf Port 81 konfiguriert, da der 80er verwendet wird und ich mit den Standardport von Squid nicht merken kann

Habe jetzt das Problem, das er deinen Befehle, nicht erkennt.

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

2008/06/22 18:25:21| parseConfigFile: line 4352 unrecognized: 'httpd_accel_host virtual'
2008/06/22 18:25:21| parseConfigFile: line 4353 unrecognized: 'httpd_accel_port 80'
2008/06/22 18:25:21| parseConfigFile: line 4354 unrecognized: 'httpd_accel_with_proxy on'
2008/06/22 18:25:21| parseConfigFile: line 4355 unrecognized: 'httpd_accel_uses_host_header on '

Auf Port 80 läuft ein Interface, zur Verwaltung des Servers, wäre es besser ein leeren Server zu verwenden, wo nun nix drauf ist (was Port 80 angeht)?

Gruß

Ein-Stein
... ich google mal etwas was squid angeht, scheint echt nen toller proxy zu sein...

[Ein-Stein]

Guck mal,

habe das gerade gefunden ...

"Grund: Der transparente Proxy wird beim Squid 2.6 jetzt völlig anders konfiguriert. Die Direktiven "'httpd_accel_*" werden bei 2.6 nicht mehr unterstützt."

Kennst du ne andere Varriante für deine Befehle?

Gruß

Ein-Stein

[Ein-Stein]

Hallo,

nun habe ich misst gebaut und zwar ohne Ende ... kannst du mir sagen wie ich das Rückgäng mache?

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81

Es ist das Serverinterface nun nicht mehr erreichbar ...

Danke

LG

Ein-Stein

[Ein-Stein]

Hallo,

[...]

Ein-Stein

// edit.. geht schon wieder, habe die iptable eintrage mit -D statt -A gelöscht