Zwei Squid Proxys hintereinander!?

Hallo Leute,

habe da ein Problem undzwar sitze ich hinter einem squid Proxy, durch den kann ich ganz normal surfe.
Nun will ich aber noch einen zweiten Proxy (ipcop-ipfire) vornedranschalten und das geht irgendwie nicht so glatt

Habe Hier mal ein Plan erstellt:



Die Clients im "localnet" surfen nur über den 172.16.0.1 proxy. Ohne DNS oder jegliches. Es wäre nett wenn mir das jemand mit dem Proxy erklären könnte wie er dann die DNS Auflösung macht.

Was ich hierbei nicht verstehe, wenn IPFIRE nur durchschleifen (Proxy an und transparent) soll, wieso geht das dann net ohne Probleme. Die Clients im localnet surfen genauso und das ohne Probleme.

Das Problem liegt aber daran das der Client (192.168.1.11) per IP surfen kann und wenn ich direkt die URL (zb google.de) angebe, läd er ca 1 Minute und dann kommt die Seite, wenn ich mich jetzt weiter auf google bewege geht es ca 30 sek normal dann wieder mit Wartezeit.
Wenn ich aber direkt die IP von google eingebe geht es auf anhieb.

Habe am Client mal Wireshark laufen lassen und es fehlt beim anfragen auf google.de der Verbindsungsaufbau (SYN-Flag) und bei der IP ist er da und es geht auch.

Hier mal die beiden Auszüge:
http://rapidshare.com/files/412470642/ipfire.rar

Es funktioniert nur wieso so langsam!?

gruß
Lele

Was sagen die Logfiles? Ausserdem ist es Unsinn, wenn die Clients keinen DNS- Server nutzen können. Es muss ja kein eigener sein. Ein Forwarder iist doch ok.

Folgende Dinge fallen mir ein:

1) Wenn es Probleme mit den Namensauflösungen gibt stimmt was mit dem DNS nicht. Kann auch sein, dass IPV6 der Grund ist.
2) Warum einen zweiten FW? Ich würde eine weitere NWCard in den einen FW stecken und dort alle anderen Clients anschliessen, die hinter einer FW sitzen müssen. Oder ist der Proxy kein FW? Das wäre für die lokalen Clients ziemlich fatal 8O
3) Ich würde in den Proxy auch einen DNS Server installieren und den als Forwarder agieren lassen (Bessere DNS Performance im lokalen Netz).

Frage meinerseits:
1) Welche DNS Einträge haben Deine Clients in der /etc/resolv.conf?

Morgen,

danke für die antworten.

in den logs vom ipfire steht:

Das Problem ist ich darf am localnetz und am ersten Proxy (squid/iptables) nix großartig ändern, da ich den ipfire nur zu testen/kennlernen aufsetze und er dann wieder weg kommt.
Habe zwar zugriff drauf, aber darf nur squid regeln verändern und iptables.

Nun habe ich mal alle DENYs rausgelöscht und habe im lokalnetz probiert mit dem "Telecom DNS" aufzulösen, das sollte doch gehen!?
tut es aber net..
Auflösen vom Squid/iptables aus geht ohne Probleme.

blicke nimmer durch...

genauso wie der ping nicht geht vom lokalnet obwohl oder alle verbote weg sind.. DENY all gibts nimmer, dann sollte doch alles gehen!?


gruß

framp schrieb:

...Frage meinerseits:
1) Welche DNS Einträge haben Deine Clients in der /etc/resolv.conf?

Zum Vergrößern anklicken....

... keine Antwort bislang ...

Mit kannst Du sehr schnell eine DNS Anfrage erzeugen und sehen was im FW Log geblocked wird.Was dnsServer ist steht in der /etc/resolv.conf.

Weitere Frage: Benutzt Du DHCP oder hast Du den DNS Server statisch bei den Clients definiert?