Два офиса соединены Туннелем IPSEC (GRE), задача завернуть весь веб трафик ВТОРОГО офиса, на прокси сервер ПЕРВОГО.
Сеть первого офиса 192.168.0.0
Сеть второго офиса 10.10.2.0
Адрес прокси 192.168.0.95
Офисы друг друга видят замечательно, но вот завернуть весь веб трафик не получается.Второй офис :
access-list 140 remark "www-redirect"
access-list 140 permit tcp 10.10.2.0 0.0.0.255 any eq wwwinterface Vlan1
description -==LAN==-
ip policy route-map www-redirectroute-map www-redirect permit 140
match ip address 140
set ip next-hop 192.168.0.95ip nat inside source list 110 interface FastEthernet4 overload
access-list 110 deny ip 10.10.2.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 permit ip 10.10.2.0 0.0.0.255 anysh ip route 192.168.0.95
Routing entry for 192.168.0.0/24
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
* 192.168.15.109
Route metric is 0, traffic share count is 1
Подскажите, как правильно сделать.
> Подскажите, как правильно сделать.set ip next-hop 192.168.0.95
Мне кажется, тут должен быть IP циски первого офиса, а не прокси.
Сам планирую также сделать. Напиши плиз если получиться и как у тебя тунели сделаны.
реализация правильная только прокси сервер в этом случае лишний хоп на пути в инет. Указывай в set ip next-hop гетвей для сети 192.168.0.0 на инет (не забываем о рабочей маршрутизации между офисами). Ну а если хочешь что бы люди ходили через проксю то никаких телодвижений не надо - просто в браузере (сети второго офиса 10.10.2.0) прописать IP прокси.
> реализация правильная только прокси сервер в этом случае лишний хоп на пути
> в инет.Я это понимаю, но есть задание, нужно реализовывать, именно через проксю.
> Ну а если хочешь что бы люди ходили через проксю то никаких телодвижений
> не надо - просто в браузере (сети второго офиса 10.10.2.0)
> прописать IP прокси.Прокся прозрачная, такой вариант не подходит.
не совсем понятно, как Вы используете NAT, в случае, с трафиком заворачиваемом на прокси
> Прокся прозрачная, такой вариант не подходит.
если "прокся" позволяет смотрите в сторону WCCP
>> Прокся прозрачная, такой вариант не подходит.
> если "прокся" позволяет смотрите в сторону WCCPА там, проще, вроде...
делал.... не помню...
Кодовые слова cisco, transparent proxy....
То ли WCCP... то ли PBR...
Одна-две строчки....
Да и название темы должно быть:
"Завернуть весь веб трафик на прокси сервер(пофик где ;) "
>>> Прокся прозрачная, такой вариант не подходит.
>> если "прокся" позволяет смотрите в сторону WCCP
> А там, проще, вроде...
> делал.... не помню...
> Кодовые слова cisco, transparent proxy....
> То ли WCCP... то ли PBR...
> Одна-две строчки....
> Да и название темы должно быть:
> "Завернуть весь веб трафик на прокси сервер(пофик где ;) "что касается WCCP то его должен поддерживать прокси-сервер (быть клиентом WCCP), скажем squid поддерживает
> что касается WCCP то его должен поддерживать прокси-сервер (быть клиентом WCCP), скажем
> squid поддерживаетА вот если без squid, вместо него Kerio не поддерживает WCCP + еще и прокся не смотрит во внешний мир, а стоит за той же цыской. Ее предназначение просто чистая статистика для начальства, кто куда когда и тп, с графиками и рюшычками (как они любят).
Ну вот лень вам пройтись по "Кодовые слова cisco, transparent proxy...."Вот...
http://www.lexa.ru/articles/transparent-proxy.html
Что то подобное городил...
Прокся, естественно, внутри была....и на Винде (но настраивал не я)" чистая статистика для начальства, кто куда когда и тп, с графиками и рюшычками (как они любят)"
А нафига для этого proxy?
Есть технология netflow и всякие там netflow analyzerыТа же самая бесплатная(демо) версия от ManageEngine "жует" не то 2, не то 4 интерфейса.
Уж поверьте, графиков и "рюшечек" нам выше крыши....Сам пользую...
Попробуй на интерфейс Tunnel в первом офисе повесить аналогичный route-map.
> Попробуй на интерфейс Tunnel в первом офисе повесить аналогичный route-map.Завесил аналогичный route-map, побежало.
Спасибо.