Sarg + Parent Proxy(Squid) = Endereço IP Incorreto

[orionstation]

Boa Tarde,

O seguinte problema esta acontecendo:
Em minha empresa possuo a seguinte topologia de rede:

ADSL Bridge <-----> eth2 Mikrotik eth1 <-----> Intranet
<-----> Squid + Samba Server (Debian - Kurumin 7)

O Problema é o seguinte, ao gerar o relatório do sarg para o acesso das maquinas da intranet à internet, o access.log do squid esta retornando apenas o endereço IP do Mikrotik (192.168.0.40) e não o das máquinas (192.168.0.1 - 192.168.0.35).

Vou Postar as Regras aplicadas:

/ ip firewall nat
add chain=dstnat in-interface=Intranet src-address=!192.168.0.31 protocol=tcp \
dst-port=80 action=redirect to-ports=3127 comment="Redireciona Intranet para Proxy MK" \
disabled=no

#
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3127 hostname="proxy" transparent-proxy=yes \
parent-proxy=192.168.0.31:3128 cache-administrator="webmaster" \
max-object-size=65536KiB cache-drive=system max-cache-size=none \

Sendo que as configurações do squid estão OK pois as mesmas funcionam quando o cache é feito direto para ele sem o Mikrotik!.

Outra coisa que come~çou a acontecer e o SARG retornar erro de <erro no open do arquivo /var/www/squid-reports/23feb2008-23feb2008/users.

Não consigo resolove-lo tambem.

[pedrovigia]

vc tem que desativa o web proxy do mikrotik e usar somente o externo, troca o retirect por dst-nat e coloca o ip e porta do seu proxy externo.

add chain=dstnat src-address=Faixa de ip dos seus clientes protocol=tcp dst-port=80 action=dst-nat to-addresses=ip do seu proxy externo to-ports=3128 \
comment="NAT - Proxy" disabled=no

em Manual :: MK-AUTH tem mais regras, para usar com PPPoE ou HotSpot se precisar...

tudo de bom,
Pedro Filho

[jeanfrank]

Ola pedro

A sua resposta pra questão foi perfeita resolveu aqui pra min pois estava com a mesma duvida do orionstation, agora me deparei com outro problema:
Não encontrei solução estou seguindo um tutorial em :
Linux: Instalando Squid 2.6 + patch ZPH no Debian Etch [Dica]

Todas as instalações/configurações foram bem sucedidas no entanto esta ultima parte não rola pelo que entendi do processo este comando na cor azul cria os arquivos *.deb o que não esta acontecendo e pedido depois no ultimo comando(dpkg -i squid*) pra instalar estes pacotes que deveriam ser criados pelo comando em azul... tentei de tudo reinstalar, trocar o path, visitei o arquivo dpkg-buildpackage e dei uma olhada na linha 193 e não encontrei nada (falta conhecimento) vou postar a linha 193 do arquivo em vermelho.
linha 193= "$@"
So isto ai em cima ????

Se tudo der certo teria que ter os seguintes pacotes .deb

• squid_2.6.5-6_i386.deb
• squid-cgi_2.6.5-6_i386.deb
• squidclient_2.6.5-6_i386.deb
• squid-common_2.6.5-6_all.deb

Mas nada feito

servidorproxy:/usr/src# ls
rpm squid_2.6.5-6etch4.diff.gz squid_2.6.5.orig.tar.gz
squid-2.6.5 squid_2.6.5-6etch4.dsc squid-2.6.STABLE2-ToS_Hit_ToS_Preserve.patch
servidorproxy:/usr/src# cd squid-2.6.5
servidorproxy:/usr/src/squid-2.6.5# dpkg-buildpackage -rfakeroot -uc -b
dpkg-buildpackage: source package is squid
dpkg-buildpackage: source version is 2.6.5-6etch4
dpkg-buildpackage: source changed by Devin Carraway <[email protected]>
dpkg-buildpackage: host architecture amd64
dpkg-buildpackage: source version without epoch 2.6.5-6etch4
fakeroot debian/rules clean
/usr/bin/dpkg-buildpackage: line 193: fakeroot: command not found
servidorproxy:/usr/src/squid-2.6.5#

Se você tiver alguma ideia sobre esta questão ou conhecer outras formas de implementar o ZPH no debian por favor post aqui pra gente

abraços

[orionstation]

Ja tinha pensado em ativar essa regra e no teste funcionou legal assim pegando os IPs pelo SARG corretamente, mas como o MIKROTIK tem um controle de acesso mais facil e mais abrangente que o arquivo de configuração do Squid (Exemplo: somente algumas maquinas acessam alguns recursos. Ex: Diretoria acesso Todo, Outros PCS tem bloqueio Orkut, gateway.dll(MSN), Power.com, Meebo.com ... etc ... e por isso não poderia efetuar a migração das regras.

Mas mesmo assim agradeço a atenção...

Aproveitando a deixa !!

pedrovigia, eu ja enviei um e-mail à você perguntado sobre o MY - AUTH e citei até o exemplo do kurumin, mas ficou pendente a resposta sobre quantas maquinas eu poderia utilizar com uma licença.

[pedrovigia]

quantas maquinas clientes ou servidores?

se for clientes é ilimitado e servidores a licenca é por hd

Pedro Filho

Ja tinha pensado em ativar essa regra e no teste funcionou legal assim pegando os IPs pelo SARG corretamente, mas como o MIKROTIK tem um controle de acesso mais facil e mais abrangente que o arquivo de configuração do Squid (Exemplo: somente algumas maquinas acessam alguns recursos. Ex: Diretoria acesso Todo, Outros PCS tem bloqueio Orkut, gateway.dll(MSN), Power.com, Meebo.com ... etc ... e por isso não poderia efetuar a migração das regras.

Mas mesmo assim agradeço a atenção...

Aproveitando a deixa !!

pedrovigia, eu ja enviei um e-mail à você perguntado sobre o MY - AUTH e citei até o exemplo do kurumin, mas ficou pendente a resposta sobre quantas maquinas eu poderia utilizar com uma licença.

[orionstation]

Uma coisa incrível que gostaria de comentar aqui.

O bloqueio do site orkut pelo webproxy mikrotik ou do squid não é 100% valido pois ao acessar o dominio http:\\images.orkut.com o danado carrega a pagina, por isso que preciso do sarg ativo juntamente com o parent proxy para saber de qual maquina vem os acessos !

[airtonveiga]

Olá amigos

Eu tenho mk 2.9.51, eu preciso ter o pacote web-proxy instalado no meu MK, ou posso apenas fazer o redirecionamento no nat para squid externemnte ?

valew T+

[orionstation]

Olá amigos

Eu tenho mk 2.9.51, eu preciso ter o pacote web-proxy instalado no meu MK, ou posso apenas fazer o redirecionamento no nat para squid externemnte ?

valew T+

Não é necessário!

Se tiver um Squid externo é so fazer o seguinte:

Va em Ip -> Webproxy -> CLique no botão SETINGS

Habilite a opção transparent proxy e coloque em parent proxy o endereço e a porta de seu squid externo.

Ou simplesmente redirecionar via NAT.

Você que escolhe !

Prefiro redirecionar via webproxy do MK pois o controle de acesso é mais facil.

[Raniel]

Olá amigos,

Não funciona o sarg corretamente:

Detalhando proxy paralelo com o linux

Sarg funciona corretamente:

Linux: MikroTik + Squid 2.6 com cache full [Artigo]

[orionstation]

Olá amigos,

Não funciona o sarg corretamente:
Sarg funciona corretamente:

OK ! Agradeço a ajuda !

[O-Ren]

Existe um botao chamado "agradecer", caso tenha lhe ajudado.

[orionstation]

Existe um botao chamado "agradecer", caso tenha lhe ajudado.

Desculpe se você entender mal,

Mas eu ser ler !

Ok!

Como tinha descrita sabia que fazendo o dst-nat direto para o squid funcionaria, perguntei se haveria algum modo de utilizar o sarg diretamente com o webproxy do mikrotik pegando o squid como parent !

Agradecendo mas uma vez a ajuda de todos !

[orionstation]

Novos problemas surgiram !!!

Tenho no PC-AP Mikrotik 2 placas eth 10/100 e 1 802.11b/g, na qual uma interface de rede é utilizada para a conexão com o link e a segunda eth e a 802.11b/g fazem bridge para a rede interna. O problema é o seguinte:

O squid só dá acesso as maquinas da interface 802.11b/g(wireless), ficando as maquinas da internet com fio sem acesso.

[orionstation]

Novos problemas surgiram !!!

Tenho no PC-AP Mikrotik 2 placas eth 10/100 e 1 802.11b/g, na qual uma interface de rede é utilizada para a conexão com o link e a segunda eth e a 802.11b/g fazem bridge para a rede interna. O problema é o seguinte:

O squid só dá acesso as maquinas da interface 802.11b/g(wireless), ficando as maquinas da internet com fio sem acesso.

Ninguem sabe como ajudar ???

[orionstation]

Ninguem sabe como ajudar ???

https://under-linux.org/f124004-prox...-rota-estatica

Resolvido o problema

[numlock]

A minha rede é LINKS --- ubuntu --- mikrotik
LINKS porque tem balanceamento no ubuntu
mantendo esta rede (sem tranferir os links para o mikrotik)
tem como os IPs dos clientes no mikrotik aparecerem no squid/sarg?

Já tentei varios modos propostos ai no forum e nenhum deu resultado.

[jeanfrank]

A minha rede é LINKS --- ubuntu --- mikrotik
LINKS porque tem balanceamento no ubuntu
mantendo esta rede (sem tranferir os links para o mikrotik)
tem como os IPs dos clientes no mikrotik aparecerem no squid/sarg?

Já tentei varios modos propostos ai no forum e nenhum deu resultado.

Acompanha este post aqui ele deve te ajudar com esta duvida

https://under-linux.org/forums/https://under-linux.org/b664-thunder-cache-cache-inteligente


abraços

[orionstation]

A minha rede é LINKS --- ubuntu --- mikrotik
LINKS porque tem balanceamento no ubuntu
mantendo esta rede (sem tranferir os links para o mikrotik)
tem como os IPs dos clientes no mikrotik aparecerem no squid/sarg?

Já tentei varios modos propostos ai no forum e nenhum deu resultado.

Após o mikrotik estão os clientes certo ?

Você deverá criar duas redes, deixar o mikrotik somente como servidor de repasse, ou seja, as conexões teram que passar pelo mikrotik e acessaram diretamente o ubuntu, assim você deverá desabilitar o NAT no mikrotik e criar rotas estaticas no seu ubuntu para qe os clientes tenham acesso.

Fiz uma mudança recente aqui na empresa onde trabalho para que os micros ficassem alocados em redes /30, para que nõ haja acesso entre eles sem conexão com o MK, no inicio usei o NAT como descrevi um Post aki mas o sarg so demonstrava o IP do MK. Depois de muito estudo implantei as rotas estaticas e tudo funciona perfeitamente.

Exemplo:

Debian Proxy (172.20.55.31) -----> (172.20.55.40)Mikrotik (172.20.53.1/30-172.20.53.253/30)
< ----------> Micros clientes.

Assim ao traçar a rota do cliente pra o mikrotik temos:

1 1ms 1ms 1ms -> gw-172-20-53-1.########.com.br (172.20.53.1) Endereço GTW Mikrotik da rede 172.20.53.0/30
2 1ms 1ms 1ms -> proxy-gw2-172-20-55-31.###########.com.br (172.20.55.31) DEBIAN PROXY

E do proxy para o cliente

1 1ms 1ms 1ms -> gw-172-20-55-40.##########.com.br (172.20.55.40) Endereço GTW Mikrotik da rede 172.20.55.0/24
2 1ms 1ms 1ms -> user-172.20.53.2.##########.com.br (172.20.53.2) CLiente

OBS: Temos somente 1 mikrotik na rede mas cm muitos endereços diferentes devido a se trabalhar com diversas subredes
Entendeu ??

Caso não tenha entendido é so falar qual e a sua duvida que estarei aki para ajudar.

[numlock]

Após o mikrotik estão os clientes certo ?

é os clientes todos ligados ao mikrotik via lan e wlan da rb600A
o mikrotik tem eth0, eth1, eth3 e as wlan1,2,3,4
na eth0 está o ubuntu e em bridge as eth1 e wlan1,2,3,4 estão os clientes e por ultimo a eth3 esta desativada
Como desabilitar o NAT só remover as regras na na aba NAT do firewall mikrotik?
Desabilitando o NAT eu perderia o hotspot do mikrotik não é? (porque eu utilizo hotspot)

E essas tuas rotas ta meio complicado não entendi essa tua sintaxe como ficariam elas escritas no linux ? aqui os clientes nao tem nomes é so ip mesmo (sem resolução de nomes).

[orionstation]

é os clientes todos ligados ao mikrotik via lan e wlan da rb600A
o mikrotik tem eth0, eth1, eth3 e as wlan1,2,3,4
na eth0 está o ubuntu e em bridge as eth1 e wlan1,2,3,4 estão os clientes e por ultimo a eth3 esta desativada
Como desabilitar o NAT só remover as regras na na aba NAT do firewall mikrotik?
Desabilitando o NAT eu perderia o hotspot do mikrotik não é? (porque eu utilizo hotspot)

E essas tuas rotas ta meio complicado não entendi essa tua sintaxe como ficariam elas escritas no linux ? aqui os clientes nao tem nomes é so ip mesmo (sem resolução de nomes).

Desculpe minha embolação !!

No caso seu hotspot usa o NAT ???

Um momento que eu vou ter que analizar! Você utiliza qual versão do MK?