Squid через не основной шлюз



  • Здравствуйте!

    Имеется pfsense с тремя интерфейсами:
    1-ый - wan (платный)
    2-ой - wan2 (бесплатный от министерства образования РФ)
    3-й lan

    Суть: все по умолчанию ходят через бесплатный канал wan2, кроме руководства и администрация через wan. Все компы в одной подсети 192.168.1.0\24. Сделал шлюз wan2 поумолчанию основным, создал  алиас для руководства и в firewall сделал правило с изменением шлюза для алиаса. Теперь работают оба канала как надо.

    Вопрос: появилась необходимость пропускать алиас через dans+squid, а так как шлюз по умолчанию wan2 то кальмар идет именно по нему. Есть ли возможность на постоянку завернуть его на wan (платный канал)?

    Спасибо, за ранее!



  • В настройках сквида есть выбор интерфейса, на к-ом он "слушает".



  • @werter:

    В настройках сквида есть выбор интерфейса, на к-ом он "слушает".

    Вы имеете ввиду proxy interface в general?

    У меня сейчас работает связка dans+squid, но через канал wan2 (его gateway выставлен как дефалтовый). Нужно же заставить squid пойти через gatway платного канала wan. Вопрос как это  сделать?

    Облазил уже все настройки, но тщетно.

    на данный момент стоит squid3 - 0.2.9



  • @shvs:

    У меня сейчас работает связка dans+squid, но через канал wan2 (его gateway выставлен как дефалтовый). Нужно же заставить squid пойти через gatway платного канала wan. Вопрос как это  сделать?

    Вам нужен Squid на Wan ?
    Если нет, тогда сделайте дефолтным WAN2.

    Если нужно проксировать оба WAN , тогда отдельный инстанс с прокси и форвадить трафик через него.



  • @shvs:

    Вопрос: появилась необходимость пропускать алиас через dans+squid, а так как шлюз по умолчанию wan2 то кальмар идет именно по нему. Есть ли возможность на постоянку завернуть его на wan (платный канал)?

    squid проксирует запросы HTTPна 80 порт. соответственно по этим признакам

    я думаю примерно так должно заработать:

    from WAN

    from WAN ADDRESS

    to ANY

    to destination HTTP 80

    ниже.
    секция  Advanced features

    Gateway - wan2 gateway



  • Дело в том, что Squid ходит только через default  gateway.

    Тут или назначать дефолтным WAN2
    или делать отдельный сервер с HTTP(s) прокси.

    И еще есть деректива, tcp_outgoing_address, которой можно разделить трафик по WAN.
    Но работает это в pfsense 2.03.

    Прочитать об default  gateway & tcp_outgoing_address vs Squid можно в этой ветке
    pfSense 2.1 Floating rules for Multi Wan doesn't work.



  • Всем большое спасибо за ответы.

    Про отдельный прокси думал. но всё же не хочется ставить ещё одну железку на это.

    Рассматриваю вариант:
    1. wan (бесплатный) - резервный
    2. wan2 (платный) - задать основным
    3. Задать подсеть 192.168.1.0/24 для тех кто через не вип и алиасом с фаером завернуть их на wan
    4. Для випов 192.168.0.1/24 а их пропускать через заданный основной канал wan2

    Ещё раз всем спасибо!



  • @shvs:

    Про отдельный прокси думал. но всё же не хочется ставить ещё одну железку на это.

    Можно рассмотреть вариант на Proxmox.

    На нем можно поднять много чего, в том числе сам pfSense, Proxy HTTP(s) (например еще один pfsense only service squid)

    Pfsense hardware requirements

    память -1Gb
    диск - 1Gb
    процессор - 1 Ghz



  • @shvs:

    Всем большое спасибо за ответы.

    Про отдельный прокси думал. но всё же не хочется ставить ещё одну железку на это.

    Еще одну железку не надо.  Можно на одной железке виртуализировать.  proxmox мне не кажется хорошим выбором. Лучше будет бесплатный VMware ESXi.  Для новичка в виртуализации он проще и не требует знаний линукса. Для опытных он стабильнее.

    pFsense занимающийся только задачами маршрутизации, (вот прямо сейчас в виртуальной машине) использует 90MHz процессора и  94 MB памяти из зарезервированных ему 500MHz и 512 MB.

    pFsense и dans+squid больше использует процессор и память. ему зарезервирован 1GHz и 2GB. фактически использует 300 MHz и 720MB.

    Рядом в соседних вируталках успешно работают два Linux web сервера и два Windows 2008.

    Всего процессор Corei5 3GHz  8 GB памяти.

    редко когда процессор нагружается больше 30% (это бывает когда виндовс ставит обновления).

    То есть вместо шести железок используется одна. И электричество потребляет одна железка.

    Рассматриваю вариант:
    1. wan (бесплатный) - резервный
    2. wan2 (платный) - задать основным
    3. Задать подсеть 192.168.1.0/24 для тех кто через не вип и алиасом с фаером завернуть их на wan
    4. Для випов 192.168.0.1/24 а их пропускать через заданный основной канал wan2

    А випы и невипы - они между собой прямую связь должны иметь?  Принтера, общие папки..  Или всё через интернет, будут обмениваться документами через скайп и аську?



  • StanislawK

    Еще одну железку не надо.  Можно на одной железке виртуализировать.  proxmox мне не кажется хорошим выбором. Лучше будет бесплатный VMware ESXi.  Для новичка в виртуализации он проще и не требует знаний линукса. Для опытных он стабильнее.

    Да что вы ? Только для ESXi крайне рекомендуется фирменное (брендовое) железо (особенно это касается raid-, network-контроллеров) .
    Вы в их HCL заглядывали ?

    Всецело соглашусь со smils. Отличный выбор! Чего только стоит программный zfs-raid из-коробки, резервное копирование вирт. машин без танцев с бубном, всеядность к железу (относительная). Опять же - кластеризация, за к-ою не надо доплачивать.



  • @werter:

    StanislawK

    Еще одну железку не надо.  Можно на одной железке виртуализировать.  proxmox мне не кажется хорошим выбором. Лучше будет бесплатный VMware ESXi.  Для новичка в виртуализации он проще и не требует знаний линукса. Для опытных он стабильнее.

    Да что вы ? Только для ESXi крайне рекомендуется фирменное (брендовое) железо (особенно это касается raid-, network-контроллеров) .
    Вы в их HCL заглядывали ?

    Ну, не знаю. у меня проблема была один раз с совсем безымянной сетевой картой broadcom, которая в итоге была выкинута в окно, потому что в debian\ubuntu тоже не работала, работала но очень плохо в windows.

    Обычный HCL, такой же как у RedHat.  процессор intel, чипсет intel, сетевая карта intel или realtek, жесткие диски SATA.

    Где вы берете "не фирменное" железо - я не знаю…



  • Обычный HCL, такой же как у RedHat.  процессор intel, чипсет intel, сетевая карта intel или realtek, жесткие диски SATA.

    Идем сюда - www.vmware.com/go/hcl , вводим в поисковой строке realtek, смотрим результат. Видим отсутствие присутствия данного пр-ля в HCL Vmware.

    6-я версия (список того, что выпилили) - https://www.virten.net/2015/03/vmware-esxi-6-0-unsupported-hardware/

    Далее, для CPU Intel и чипсета мат. платы крайне рекомендуется наличие поддержки vt-d (понимаете, о чем я ?).

    Сдается мне, что raid-контроллер вы не используете - HW raid из HCL для вашей компании дорог (?), ну а soft raid Esxi изначально не поддерживает. Или для вашего "сервера" это не критично ?

    ESXi в версии free не поддерживает резервное копирование без стороннего ПО. Нет, есть конечно вариант исп. Veeam Backup или скрипты ghettovcb.
    Но для первого нужна Win, а для второго - знания *nix.

    Повторюсь еще раз. Для небольшой компании с небрендовым (да и с брендовым не топ класса) железом именно Proxmox (KVM) является оптимальным решением. Попробуйте и сравните. Не зацикливайтесь только на Vmware.

    P.s. http://www.v-front.de/2013/08/a-myth-busted-and-faq-esxi-is-not-based.html

    Those of you who have ever touched or even installed a classic ESX installation might know that it uses a Redhat Linux installation to boot itself and to provide management functionality. This Linux is the so-called Service Console OS (or short COS) of ESX. Its Linux kernel loads the VMkernel as a module and then passes complete control over the system to it. The VMkernel hypervisor in turn will then run the COS as a privileged VM.

    Но (!):

    You might call VMware ESXi Unix-like, but even this is disputed by official sources: Mike Foley - a Senior Technical Marketing Manager at VMware - recently explained in an interesting blog post titled "It's a Unix system, I know this" that "A shell does not an OS make". His main point is that you do (or at least should) not manage an ESXi host through the shell, but via the management tools and scriptable APIs that are available for it, e.g. through PowerCLI. Or in other words: ESXi is not designed as a "Unix", but as an embedded system that is managed through defined interfaces (of which most are not really Unix-like).

    I used many words here to describe what ESXi is not. But how do explain what it actually is? Here is my try:
    ESXi is a bare metal (or type-1) hypervisor
    that is purpose-built,
    designed as an embedded system,
    incorporates free Open Source software components, but also uses
    a unique proprietary OS kernel - the VMkernel -
    which implements unique features that are not available in any other operating system (e.g. the VMFS and VisorFS file systems.

    The VMkernel of ESXi boots directly on the hardware and does not need a Linux OS anymore.

    P.p.s. Вы еще ESXi небось и не с флешки грузите ? Подсказываю - она на флешке отлично себя чувствует, при этом винт (-ы) целиком отдаются под хранилище.



  • @werter:

    Обычный HCL, такой же как у RedHat.  процессор intel, чипсет intel, сетевая карта intel или realtek, жесткие диски SATA.

    Идем сюда
    …..  skip всякий бред ...

    Ну крутой. Ну молодец.

    Только если честно, я не понял. к чему ты тут гнешь пальцы.



  • @StanislawK:

    Ну крутой. Ну молодец.

    Только если честно, я не понял. к чему ты тут гнешь пальцы.

    1. Когда оппоненту нечем аргументировать - он начинает хамить.
    2. Информация к размышлению вами получена. Воспользоваться ею или нет - ваше право.

    Удачи.



  • 2 shvs

    Sonar - веб-интерфейс для прокси-сервера Squid

    Sonar представляет собой графический веб-интерфейс для настройки параметров конфигурационного файла прокси-сервера Squid, также для администрирования доступа пользователей в интернет, использующих текущий прокси-сервер. Возможности: ограничение пользователей по объему трафика в день и месяц; настройка параметров органичения полосы попускания; настройка списка контроля доступа по IP-адресу, по порту, по URL и по временному диапазону; настройка авторизации NCSA; мониторинг в реальном времени отображает активные запросы всех клиентов, использующих текущий прокси-сервер Squid; просмотр статистики общей, по пользователям, по IP-адресу и по посещаемости сайтов за определенные промежутки времени.

    http://sonar-squid.ru



  • @werter:

    @StanislawK:

    Только если честно, я не понял. к чему ты тут гнешь пальцы.

    1. Когда оппоненту нечем аргументировать

    Я высказал мнение, что ESXi для новичка проще, без проблем работает на нормальном современном железе и не требует специальных знаний линукса.
    Не более того.

    Видимо вы ошибочно решили что тут какой то Диспут Поиска Единственной Истины, и начали спорить, имея целью морально меня уничтожить и унизить.

    Мне ваш порыв безразличен.



  • Всем привет!

    Простите что долго молчал. Вообщем реализовал свою схему как описывал с добавлением подсетей.

    Привел к виду:

    192.168.0.0/24 - wan (минобр)
    192.168.1.0/24 - dans+squid-wan2 (платный) в сквиде прописан доступ по макам.

    Хотя по теме проблема решена, появилась ещё одна )). В связке dans+squid при логировании калмар пишет 127.0.0.1. То есть dansguardian не передает IP, при том что как я понял x-forward включен по умолчанию. В камльмаре тоже включен. В итоге логи получаются неправильные. Если не трудно пните в нужную сторону? (к слову во freebsd уже подымал эту связку и было всё в порядке)

    Спасибо всем за ответы



  • Вообщем и проблема с логами решилась так: https://forum.pfsense.org/index.php?topic=69305.msg389469#msg389469

    Нужно выставить

    Dansguardian
    General Tab
    Misc settings
        highlight - forwardedfor(off)
        highlight - useforwardedfor(off)

    Proxy server: General Settings
    Custom options

    follow_x_forwarded_for allow localhost