squid und zwei netzwerkkarten

[boxa]

Hallo Experten,

es dauert nicht mehr lange und ich hole den Voirschlaghammer!

Zu meinem Problem:

Ich möchte den Squid Proxy zwischen LAN und Router schalten. Dazu habe ich zwei Netzwerkkarten im Rechner.

Ich habe bisher folgendes probiert (Routingtabelle):

192.168.1.0 255.255.255.0 eth0
192.168.2.0 255.255.255.0 eth1
0.0.0.0.0 192.168.1.100 eth0 (ist die IP des Routers)

Ich kann jetzt vom Router aus beide Seiten anpingen. Auch der Router ist anpingbar. Nur von dem Clients zum Router will es einfach nicht funktionieren. Es ist kein Firewall aktiviert und IP Forwarding ist aktiv!

Ich weiß jetzt echt nicht mehr weiter und bin euch für eure Hilfe sehr dankbar!

[geronet]

Diel Clients müssten demnach ja auf dem 192.168.2.0 -Subnetz liegen.
Kannst du vom Squid-Rechner einen Client pingen? Vom Router auch (wenn das geht, eventuell eine Netzroute für das 2.0-Netz einfügen: route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.xx (xx die Nummer des squid-rechners))

Oder funktioniert nur der squid nicht?
Willst du Masqerading auch?

Grüsse, Stefan

[boxa]

Hallo Stefen,

genau die Clients sind an eth1. Von Squid aus kannich in beide Richtungen pingen. Der Squid läuft.

Deinen Vorschlag mit der zusätzlichen Route verstehe ich nicht so ganz.
Der Squid Rechner ist doch selbst das Gateway, somit müsste doch
0.0.0.0.0 192.168.1.100 eth0 ausreichen oder?

[geronet]

Gut dann erklär ich das mal ein bisschen ausführlich:
Stell dir vor du schickst ein ping-Paket (icmp-echo-request) von einem der Clients (z.B. mit der IP 192.168.2.50) zum Router. Da in der Defaultroute des Clients aber der Proxy drinsteht, schickt er es erst dorthin an eth1 (IP weiss ich nicht, irgendeine im Subnetz 192.168.2.0). So da der Proxy aber IP-Forward aktiv hat, schickt er es durch die Netzroute von eth0 (192.168.1.0) zum Router weiter, selbst wenn diese Netzroute nicht vorhanden wäre (was nicht vorkommen sollte), würde er das Paket per Defaultroute trotzdem an den Router weiterschicken (seine Defaultroute zeigt ja auch auf den Router).

Nun, jetzt landet das Paket vom Client über den Proxy beim Router auf dem internen Interface. So nett wie der Router ist, beantwortet er den ping sogleich mit einem icmp-echo-reply an die Adresse vom Client (192.168.2.50). Der Router hat aber keinen DIREKTEN Anschluss an dieses Subnet. Das ist ganz wichtig zu verstehen, denn dieses 2.0-Subnet erreicht er nur über einen Gateway, nämlich den Proxy.

So, was macht jetzt der Router mit dem Paket in das 2.0-Netz ?
Ganz einfach, er geht die Routentabelle einzeln durch und schaut ob dort ein passender Eintrag für die Zieladresse drin ist. Ist aber nicht, und deshalb schickt er es über seine Defaultroute an das externe Interface, das an das Internet weiterleitet (über ppp0 oder was du hast) .

Damit landet die ping-Antwort im Internet, wo sie aber nicht weitergeroutet wird wegen der internen Adressen.

Deshalb brauchst du auf dem Router eine Netzwerkroute zum 2.0-Netz:

route add -net 192.168.2.0 netmask 255.255.255.0 gw [Ip des Proxy, externes Interface (die 1.x)]

Logisch oder?

Achja, stell den Vorschlaghammer schonmal neben die Windoof-Kiste. Nein noch besser verkauf Ihn an Windoof-Jünger und installier Linux drauf.

Grüsse, Stefan

[boxa]

Hallo Stefan,

vielen Dank für Deine ausführliche Antwort. Das hat mir sehr geholfen.

Danke!