Squid3 WCCPv2 com ASA não funcionando

2

Então eu comecei a terrível aventura de fazer o Squid 3.3.8 trabalhar com o Cisco ASA 5520 (9.1 (5)). Eu acho que o problema é que o tráfego está chegando à caixa do squid, mas ele não está chegando ao daemon real ou não está sendo enviado (acho que não está chegando ao daemon)

ASA sh wccp

Global WCCP information:
    Router information:
    Router Identifier:                   192.168.1.1
    Protocol Version:                    2.0

    Service Identifier: web-cache
    Number of Cache Engines:             1
    Number of routers:                   1
    Total Packets Redirected:            1049
    Redirect access-list:                wccp-traffic
    Total Connections Denied Redirect:   0
    Total Packets Unassigned:            1
    Group access-list:                   wccp-servers
    Total Messages Denied to Group:      1
    Total Authentication failures:       0
    Total Bypassed Packets Received:     0

Tenho certeza de que o ASA está redirecionando o tráfego porque, toda vez que eu o habilito, o Total de Pacotes Redirecionados sobe.

Eu segui este guia: link para configurar a interface do squid. Como vem do squid, eu esperava que funcionasse fora da caixa, mas aparentemente não.

Então eu digitei todos os comandos:

modprobe ip_gre
ip tunnel add wccp0 mode gre remote 192.168.1.1 local 10.10.1.63  dev eth0                   ifconfig wccp0 10.10.1.63 netmask 255.255.255.255 up
echo 0 >/proc/sys/net/ipv4/conf/wccp0/rp_filter
echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i wccp0 -p tcp --dport 80 -j REDIRECT --to-port 3129
iptables -t nat -A POSTROUTING -j MASQUERADE

Então aqui é onde minhas habilidades de debugging entram em jogo. Eu sei que eu só tenho que redirecionar o tráfego HTTP, então eu fui para homedepot.com porque eu novo eles não suportam SSL.

Global WCCP information:
    Router information:
    Router Identifier:                   192.168.1.1
    Protocol Version:                    2.0

    Service Identifier: web-cache
    Number of Cache Engines:             1
    Number of routers:                   1
    Total Packets Redirected:            1182
    Redirect access-list:                wccp-traffic
    Total Connections Denied Redirect:   0
    Total Packets Unassigned:            1
    Group access-list:                   wccp-servers
    Total Messages Denied to Group:      1
    Total Authentication failures:       0
    Total Bypassed Packets Received:     0

E tada! My Total Packets Redirected subiu. Então eu sei que os pacotes estão atingindo o ASA e, em seguida, o ASA está redirecionando-os para a caixa de lula.

Em seguida, deixo correr tcpdump no squidbox enquanto tento carregar o homedepot.com. Eu cortei as coisas inúteis e coloquei as informações relevantes abaixo

04:03:35.448210 IP 192.168.1.1 > 10.10.1.63: GREv0, length 60: gre-proto-0x883e

Então isso me diz que o pacote está atingindo a caixa de lula.

Eu também fiz algumas depurações na interface wccp0.

Antes:

wccp0     Link encap:UNSPEC  HWaddr XXX
          inet addr:10.10.1.63  P-t-P:10.10.1.63  Mask:255.255.255.255
          inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
          UP POINTOPOINT RUNNING NOARP  MTU:1476  Metric:1
          RX packets:159 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:8592 (8.5 KB)  TX bytes:180 (180.0 B)

Depois:

wccp0     Link encap:UNSPEC  HWaddr XXX              
          inet addr:10.10.1.63  P-t-P:10.10.1.63  Mask:255.255.255.255
          inet6 addr: fe80::5efe:a0a:13f/64 Scope:Link
          UP POINTOPOINT RUNNING NOARP  MTU:1476  Metric:1
          RX packets:164 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:8848 (8.8 KB)  TX bytes:180 (180.0 B)

Não está transmitindo nenhum pacote, então acho que ele não está atingindo o daemon do squid (access.log também não mostra nada)

Configuração do Squid:

http_access allow all
http_port 3129 intercept
wccp2_router 10.10.1.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0

Qualquer ajuda é muito apreciada !!! < 33

    
por user298329 13.07.2016 / 10:08

0 respostas