"
Hi,
ich habe an meiner OS zwei WANs, die zunächst gleichberechtigt im Lastenausgleich laufen sollen. Über Policy based Routing kann ich in den einzelnen FW-Regeln recht gut steuern, über welche WAN-Schnittstelle bestimmte Dienste laufen sollen. Ist deshalb gewollt, weil Bandbreiten als auch Latenz der beiden WANs unterschiedlich ist. Zudem ist ein WAN weniger vertrauenswürdig, weil's über den schrägen ELON läuft ;-)
Was ich jetzt aber noch nicht hinbekommen habe, dass schnöde Webzugriffe (HTTP, HTTPS / 80/443), die durch den SQUID als transparenten Proxy laufen sollen, irgendwie auch auf gezielte Wege mittels PBR geschickt werden können. Im ersten Schritt werden die Anfragen auf 80 /443 an die Proxy-Ports genattet. Nach dem SQUID scheinen die Anfragen bereits an einer der WAN-Schnittstellen ausgehend zu sein, d.h. da scheint PBR bereits zu spät. In der NAT-Regel kann ich augenscheinlich nichts zum Thema Gateway mitgeben und die Regel zwischen NAT und SQUID hat ja als Ziel den LOCALHOST, also kann man hier ja gar nicht sonnvoll eingreifen.
Irgendwie müssten die ausgehenden Pakete des SQUID gedanklich erstmal an eine interne Schnittstelle als Pseodo-Gateway gehen, auf der man dann PBR-Regeln festlegen könnte. D.h. der ganze Salmon geht dann doppelt durch die OS.
Gibt es eine Musterlösung dazu? Welche Optionen hätte man?
ich habe an meiner OS zwei WANs, die zunächst gleichberechtigt im Lastenausgleich laufen sollen. Über Policy based Routing kann ich in den einzelnen FW-Regeln recht gut steuern, über welche WAN-Schnittstelle bestimmte Dienste laufen sollen. Ist deshalb gewollt, weil Bandbreiten als auch Latenz der beiden WANs unterschiedlich ist. Zudem ist ein WAN weniger vertrauenswürdig, weil's über den schrägen ELON läuft ;-)
Was ich jetzt aber noch nicht hinbekommen habe, dass schnöde Webzugriffe (HTTP, HTTPS / 80/443), die durch den SQUID als transparenten Proxy laufen sollen, irgendwie auch auf gezielte Wege mittels PBR geschickt werden können. Im ersten Schritt werden die Anfragen auf 80 /443 an die Proxy-Ports genattet. Nach dem SQUID scheinen die Anfragen bereits an einer der WAN-Schnittstellen ausgehend zu sein, d.h. da scheint PBR bereits zu spät. In der NAT-Regel kann ich augenscheinlich nichts zum Thema Gateway mitgeben und die Regel zwischen NAT und SQUID hat ja als Ziel den LOCALHOST, also kann man hier ja gar nicht sonnvoll eingreifen.
Irgendwie müssten die ausgehenden Pakete des SQUID gedanklich erstmal an eine interne Schnittstelle als Pseodo-Gateway gehen, auf der man dann PBR-Regeln festlegen könnte. D.h. der ganze Salmon geht dann doppelt durch die OS.
Gibt es eine Musterlösung dazu? Welche Optionen hätte man?
