Guten Morgen,
jetzt wirds etwas spezieller.
;tldr:
Einbeinigen (weil nur ein NW-Interface) Caching-Zwangsproxy auf der DS?
Squid auf Raspi und Proxy als Parent auf der DS?
Squid auf raspi und cache_dir auf nfs-Freigabe der DS?
;long Version:
Ich möchte in meinem Netzwerk einen Zwangsproxy mit cache einsetzen, welcher ohne Konfiguration der Endgeräte greift. (also der sogenannte transparent oder interception Modus)
Jetzt suche ich verschiedenste Möglichkeiten und laufe immer wieder in Sackgassen rein. Evtl kann mir jemand bei dem einen oder anderen Thema etwas helfen.
Die Firewallregeln auf dem Router sind das kleinste Problem, mir geht es um die Diskstation und deren mögliche Einbindung ins Szenario.
Variante 1 (bevorzugt, aber funktioniert nicht) DS als Proxyserver nutzen:
Das Proxypaket kann ich installieren, die Berechtigungen setzen. Trage ich den Proxy auf den Endgeräten ein, geht es. Setzte ich eine Weiterleitung am Router (also eine erzwungene Nutzung des Proxies) auf den Proxyserver in der DS, dann geht es nicht.
1. Weil ich kein WLAN-Routing eingestellt habe und deshalb die Möglichkeit, den Proxy als Zwangsproxy zu verwenden, in der GUI nicht aktiv ist.
Frage1: Kann ich die Auswirkungen dieses Kästchens auch manuell setzen und was passiert beim Update des Paketes? (Squidoption: http_port 3128 intercept)
2. Weil die DS nicht als Router funktioniert und deshalb keine Pakete angenommen werden die "einfach so" an diese weitergeleitet werden.
Frage2: Der iptables-Befehl /sbin/iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 geht nicht, weil die Tabelle nat nicht vorhanden ist. Gibts da ne andere Lösung außer über ipkg ein anderes iptables zu verwenden?
Variante 2 (funktioniert nicht optimal), Raspberry als Proxy und DS als cache_peer:
Squid auf einem Raspi und auf der DS. Dem Raspi wird Port und IP der DS als cache_peer parent mitgegeben. Das geht auch soweit, mit dem kleinen "Problem" dass bei Proxyauswertungen jeder Webzugriff vom Raspi-Squid als cache_miss gesehen wird. Und das Problem ist einfach auch, dass dann der raspi und die DS laufen müssen, das würde ich gerne vermeiden.
Variante 3 (hab ich nicht versucht), Raspi als Proxy und das Cache-Directory auf der DS:
Squid läuft nur auf dem Raspi und das cache_dir verweißt auf ein per nfs gemountetes Verzeichnis welches auf der DS liegt. Ich vermute das würde funktionieren, aufgrund der recht hohen Schreib-/Lese zugriffe des squids aber nicht sehr performant bzw. zuviele offene Dateien.
Frage3: Würde das jemand so einsetzen?
jetzt wirds etwas spezieller.
;tldr:
Einbeinigen (weil nur ein NW-Interface) Caching-Zwangsproxy auf der DS?
Squid auf Raspi und Proxy als Parent auf der DS?
Squid auf raspi und cache_dir auf nfs-Freigabe der DS?
;long Version:
Ich möchte in meinem Netzwerk einen Zwangsproxy mit cache einsetzen, welcher ohne Konfiguration der Endgeräte greift. (also der sogenannte transparent oder interception Modus)
Jetzt suche ich verschiedenste Möglichkeiten und laufe immer wieder in Sackgassen rein. Evtl kann mir jemand bei dem einen oder anderen Thema etwas helfen.
Die Firewallregeln auf dem Router sind das kleinste Problem, mir geht es um die Diskstation und deren mögliche Einbindung ins Szenario.
Variante 1 (bevorzugt, aber funktioniert nicht) DS als Proxyserver nutzen:
Das Proxypaket kann ich installieren, die Berechtigungen setzen. Trage ich den Proxy auf den Endgeräten ein, geht es. Setzte ich eine Weiterleitung am Router (also eine erzwungene Nutzung des Proxies) auf den Proxyserver in der DS, dann geht es nicht.
1. Weil ich kein WLAN-Routing eingestellt habe und deshalb die Möglichkeit, den Proxy als Zwangsproxy zu verwenden, in der GUI nicht aktiv ist.
Frage1: Kann ich die Auswirkungen dieses Kästchens auch manuell setzen und was passiert beim Update des Paketes? (Squidoption: http_port 3128 intercept)
2. Weil die DS nicht als Router funktioniert und deshalb keine Pakete angenommen werden die "einfach so" an diese weitergeleitet werden.
Frage2: Der iptables-Befehl /sbin/iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 geht nicht, weil die Tabelle nat nicht vorhanden ist. Gibts da ne andere Lösung außer über ipkg ein anderes iptables zu verwenden?
Variante 2 (funktioniert nicht optimal), Raspberry als Proxy und DS als cache_peer:
Squid auf einem Raspi und auf der DS. Dem Raspi wird Port und IP der DS als cache_peer parent mitgegeben. Das geht auch soweit, mit dem kleinen "Problem" dass bei Proxyauswertungen jeder Webzugriff vom Raspi-Squid als cache_miss gesehen wird. Und das Problem ist einfach auch, dass dann der raspi und die DS laufen müssen, das würde ich gerne vermeiden.
Variante 3 (hab ich nicht versucht), Raspi als Proxy und das Cache-Directory auf der DS:
Squid läuft nur auf dem Raspi und das cache_dir verweißt auf ein per nfs gemountetes Verzeichnis welches auf der DS liegt. Ich vermute das würde funktionieren, aufgrund der recht hohen Schreib-/Lese zugriffe des squids aber nicht sehr performant bzw. zuviele offene Dateien.
Frage3: Würde das jemand so einsetzen?
