Probleme mit dem Squid-Proxy...?!

Hallo zusammen,

ich habe die sehr guten Hinweise zum Squid hier schon gelesen, konnte mein Problem hier aber trotzdem nicht lösen. Vielleicht kann mir hier jemand weiterhelfen?

Ich verwende hier einen Debian-Linux-Server mit Win NT4SP6a und WinXP-Clients. Das Internet geht über den Squid unter Linux an ein kommunales Rechenzentrum. Ach ja, und (leider) verwenden wir hier den IE6 - das Problem habe ich aber auch mit einem anderen Browser...
Es funktioniert eigentlich auch sehr gut...nur... manche Seiten kann ich über den Squid-Zugang nicht anzeigen - ich kriege dann immer einen Timeout - wenn ich das selbe über einen lokalen ISDN-Zugang mache (unter Umgehung des Squid) dann funzt alles.
Das Problem stellt sich wie folgt dar:
nicht gehen tut
(x) https komplett
(x) teilweise php-Seiten oder asp-Seiten
(x) Abfragefenster
z.B. kann ich direkt über den Proxy einen als Favorit eingerichteten Thread hier nicht aufrufen. Oder z.B. Abfragefenster gehen nicht. Zum Beispiel bei www.jusline.de - wenn ich da ein Gesetz auswähle, kommt irgendwann der Timeout.

Laut meinem Anbieter im Rechenzentrum ist unser Zugang dort aber korrekt eingerichtet - der Fehler soll hier liegen..

Hat jemand eine Idee? Ich stehe gerne für weitere Info's hier oder direkt via eMail zur Verfügung!

Viele Grüße aus Spechbach - Markus / Woodpecker

Hallo Woodpecker,

Auch wenn das jetzt ellenlang werden sollte *gg*
Poste mal bitte die squid.conf und die Ausgabe von ifconfig. Des weiteren wäre es interesannt zu wissen, wie Du online gehst. Ich vermute mal DSL?

Gruß
Sven

Hallo Sven,

danke für deine Antwort. Ich werde mal die ganzen unwichtigen Kommentarzeilen rauswerfen und poste dann nachher hier die CONF.

Bis später,
Markus Woodpecker

So, hatte zum Glück gleich Zeit das zu machen - hier die Kurzfassung meiner squid.conf

Achja, hatte nochwas vergessen: SSL geht auch nicht...


Default:
# http_port 3128

icp_port 0

#Default:
# htcp_port 0

#  TAG: mcast_groups
#Default:
# none

#Default:
# tcp_outgoing_address 255.255.255.255
# udp_incoming_address 0.0.0.0
# udp_outgoing_address 255.255.255.255


#  TAG: cache_peer
#Default:
# none

#  TAG: cache_peer_domain
#Default:
# none

#  TAG: neighbor_type_domain
#Default:
# none

#Default:
# icp_query_timeout 0

#Default:
# maximum_icp_query_timeout 2000

#Default:
# mcast_icp_query_timeout 2000

#Default:
# dead_peer_timeout 10 seconds

#  TAG: hierarchy_stoplist
#hierarchy_stoplist cgi-bin ?

#  TAG: no_cache
#acl QUERY urlpath_regex cgi-bin \?


#Default:
# cache_mem 8 MB

#Default:
# cache_swap_low 90
# cache_swap_high 95

#Default:
# maximum_object_size 4096 KB

#Default:
# minimum_object_size 0 KB

#Default:
# maximum_object_size_in_memory 8 KB

#Default:
# ipcache_size 1024
# ipcache_low 90
# ipcache_high 95

#Default:
# fqdncache_size 1024

#Default:
# cache_replacement_policy lru

#Default:
# memory_replacement_policy lru


#Default:
# cache_dir ufs /var/spool/squid 100 16 256

cache_access_log /var/log/squid/access.log

#Default:
cache_log /var/log/squid/cache.log

#Default:
# cache_store_log /var/log/squid/store.log

#  TAG: cache_swap_log
#Default:
# none

#Default:
# emulate_httpd_log off

#Default:
# log_ip_on_direct on

#Default:
mime_table /usr/lib/squid/mime.conf

#Default:
# log_mime_hdrs off

#  TAG: useragent_log
#Default:
# none

#  TAG: referer_log
#Default:
# none

#  TAG: pid_filename
#Default:
# pid_filename /var/run/squid.pid

#Default:
# debug_options ALL,1

#Default:
# log_fqdn off

#Default:
# client_netmask 255.255.255.255


#Default:
# ftp_user Squid@

#Default:
# ftp_list_width 32

#Default:
ftp_passive on

#Default:
# ftp_sanitycheck on

#Default:
# cache_dns_program /usr/lib/squid/

#Default:
# dns_children 5

#Default:
# dns_retransmit_interval 5 seconds

#Default:
# dns_timeout 5 minutes

#Default:
# dns_defnames off

#  TAG: dns_nameservers
#Default:
#none

#Default:
# diskd_program /usr/lib/squid/diskd

#Default:
# unlinkd_program /usr/lib/squid/unlinkd

#Default:
# pinger_program /usr/lib/squid/

#  TAG: redirect_program
#Default:
# none

#Default:
# redirect_children 5

#Default:
# redirect_rewrites_host_header on

#  TAG: redirector_access
#Default:
# none

#  TAG: authenticate_program
#Default:
# none

#Default:
# authenticate_children 5

#Default:
# authenticate_ttl 1 hour

#Default:
# authenticate_ip_ttl 0 seconds

#Default:
# authenticate_ip_ttl_is_strict on

#Default:
# wais_relay_port 0

#Default:
# request_header_max_size 10 KB

#Default:
# request_body_max_size 1 MB

#Default:
# reply_body_max_size 0

#Default:
# refresh_pattern ^ftp: 1440 20% 10080
# refresh_pattern ^gopher: 1440 0% 1440
# refresh_pattern . 0 20% 4320

#Default:
# reference_age 1 year

#Default:
# quick_abort_min 16 KB
# quick_abort_max 16 KB
# quick_abort_pct 95

#Default:
# negative_ttl 5 minutes

#Default:
# positive_dns_ttl 6 hours

#Default:
# negative_dns_ttl 5 minutes

#Default:
# range_offset_limit 0 KB

#Default:
# connect_timeout 2 minutes

#Default:
# peer_connect_timeout 30 seconds

#Default:
# siteselect_timeout 4 seconds

#Default:
# read_timeout 15 minutes

#Default:
# request_timeout 30 seconds

#Default:
# client_lifetime 1 day

#Default:
# half_closed_clients on

#Default:
# pconn_timeout 120 seconds

#Default:
# ident_timeout 10 seconds

#Default:
# shutdown_lifetime 30 seconds

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT

#Default:
# http_access deny all
#
http_access allow all
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny !Safe_ports
http_access deny purge
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all

#Default:
# icp_access deny all
icp_access allow all

#Default setting:
# miss_access allow all

#  TAG: cache_peer_access
#Default:
# none


#Default:
# proxy_auth_realm Squid proxy-caching web server

# ident_lookup_access deny all


#Default:
# cache_mgr webmaster

#Default:
# cache_effective_user proxy
# cache_effective_group proxy

#  TAG: visible_hostname
#Default:
# none

#  TAG: unique_hostname
#Default:
# none

#  TAG: hostname_aliases
#Default:
# none

#Default:
# announce_period 0
#Default:
# announce_host tracker.ircache.net
# announce_port 3131

#Default:
# httpd_accel_port 80

#Default:
httpd_accel_single_host on

#Default:
# httpd_accel_with_proxy off

#Default:
# httpd_accel_uses_host_header off

#Default:
# dns_testnames netscape.com internic.net nlanr.net microsoft.com

#Default:
# logfile_rotate 0

#  TAG: append_domain
#Default:
# none

#Default:
# tcp_recv_bufsize 0 bytes

#  TAG: err_html_text
#Default:
# none

#  TAG: deny_info
#Default:
# none

#Default:
# memory_pools on

#  TAG: memory_pools_limit (bytes)
#Default:
# none

#Default:
# forwarded_for on

#Default:
# log_icp_queries on

#Default:
# icp_hit_stale off

# minimum_direct_hops 4

#Default:
# minimum_direct_rtt 400

#  TAG: cachemgr_passwd
#Default:
# none

#Default:
# store_avg_object_size 13 KB

#Default:
# store_objects_per_bucket 20

#Default:
# client_db on

#Default:
# netdb_low 900
# netdb_high 1000

#Default:
# netdb_ping_period 5 minutes

#Default:
# query_icmp off

#Default:
# test_reachability off

#Default:
# buffered_logs off

#Default:
# reload_into_ims off

#  TAG: always_direct
#Default:
# none

#  TAG: never_direct
#Default:
# none

#  TAG: anonymize_headers
#Default:
# none

#  TAG: fake_user_agent
#Default:
# none

#Default:
# icon_directory /usr/lib/squid/icons

#Default:
# error_directory /usr/lib/squid/errors/English

#Default:
# minimum_retry_timeout 5 seconds

#Default:
# maximum_single_addr_tries 3

#Default:
# snmp_port 0

#Default:
# snmp_access deny all

#  TAG: snmp_incoming_address
#Default:
# snmp_incoming_address 0.0.0.0
# snmp_outgoing_address 255.255.255.255

#Default:
# as_whois_server whois.ra.net
# as_whois_server whois.ra.net

#Default:
# wccp_router 0.0.0.0

#Default:
# wccp_version 4

# wccp_incoming_address 0.0.0.0
# wccp_outgoing_address 255.255.255.255


#Default:
# delay_pools 0

#  TAG: delay_class
#Default:
# none

#  TAG: delay_access
#Default:
# none

#  TAG: delay_parameters
#Default:
# none

#Default:
# delay_initial_bucket_level 50

#Default:
# incoming_icp_average 6
# incoming_http_average 4
# incoming_dns_average 4
# min_icp_poll_cnt 8
# min_dns_poll_cnt 8
# min_http_poll_cnt 8

#Default:
# max_open_disk_fds 0

#Default:
# offline_mode off

# uri_whitespace strip

#  TAG: broken_posts
#Default:
# none

#Default:
# mcast_miss_addr 255.255.255.255

#Default:
# mcast_miss_ttl 16

#Default:
# mcast_miss_port 3135

#Default:
# mcast_miss_encode_key XXXXXXXXXXXXXXXX

#Default:
# nonhierarchical_direct on

#Default:
# prefer_direct off

#Default:
# strip_query_terms on

#  TAG: coredump_dir
#Default:
# none

#Default:
# redirector_bypass off

#Default:
# ignore_unknown_nameservers on

#Default:
# digest_generation on

#Default:
# digest_bits_per_entry 5

#Default:
# digest_rebuild_period 1 hour

#Default:
# digest_rewrite_period 1 hour

#Default:
# digest_swapout_chunk_size 4096 bytes

#Default:
# digest_rebuild_chunk_percentage 10

#  TAG: chroot
#Default:
# none

#Default:
# client_persistent_connections on
# server_persistent_connections on

#Default:
# pipeline_prefetch on

#  TAG: extension_methods
#Default:
# none

#Default:
# high_response_time_warning 0

#Default:
# high_page_fault_warning 0

#Default:
# high_memory_warning 0

#Default:
# store_dir_select_algorithm least-load

#  TAG: forward_log
#Default:
# none

#Default:
#ie_refresh off

cache_peer §§§.§§§.§§§.§§§ parent 3128 3130 no-query login=*********:********
login=*********:********
# *** - hier steht der Zugangsname und das Zugangspasswort ? getrennt mit Doppelpunkt
# §§§ - hier steht die IP-Adresse unseres Zuganges im Rechenzentrum
reference_age 2 day


Danke und viele Grüße
Woodpecker / Markus

Ach ja - fast vergessen - hier noch die ifconfig-Daten...

eth0      Link encap:Ethernet  HWaddr 00:04:76:21:54:41
          inet addr:§§§.§§§.§§§.§§§  Bcast:§§§.§§§.§§§.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1052383 errors:0 dropped:0 overruns:0 frame:0
          TX packets:886818 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:775400555 (739.4 MiB)  TX bytes:520945999 (496.8 MiB)
          Interrupt:15 Base address:0xb000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:232357 errors:0 dropped:0 overruns:0 frame:0
          TX packets:232357 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:19055075 (18.1 MiB)  TX bytes:19055075 (18.1 MiB)

§§§ = die IP meines Servers

Hallo,

schaut soweit gut aus...
Nun aber immer noch die Frage, wie Du ins Internet connectest?
Ich vermute, du hast nen falschen MTU Wert.

Gruß
Sven

Hallo,

Hmm, die Zeile mit dem >allow all< würde bei mir wo anders stehen
und gehtst du über den Proxy deines Providers?
sind deine ParagraphenZeichen eine echte IP oder eine aus dem Privaten Netz
192.168.xxx.xxx

wie sieh die Konfiguration deiner Client's aus.
Manuell oder per Script?
bitte mal posten

Hallo und danke für die Rückmeldungen!
Hatte am Wochenende leider keine Zeit reinzuschauen :-(

zu Euren Fragen:
ich connecte nicht direkt ins Internet, sondern das geht über ein Rechenzentrum: habe hier->nen Router mit DSL-Standleitungsanbindung zum Großrechner (mit Firewall etc.) und über den geht's dann ins Internet...

Sven: falscher MTU - ist das wirklich so ein kritischer Wert..? Sollte ich mal hochsetzten? (Bin da echt nicht der Fachmann...)

Kersten: die cachepeer-§§§ in der Squid.conf zeigen auf eine IP im Rechenzentrum, die inet bei eth0 natürlich auf meinen lokalen Server (beides mal keine 192.168...)
meine NT und XP-Clients haben die normale Netzwerkeinrichtung genossen und im IE (oder auch Netscape schon versucht) die normalen Proxyeinträge (mit der Server-IP)...

Danke für Eure Mühen - ist echt nervig, dass das nicht richtig geht...

Markus

Woodpecker schrieb:

Sven: falscher MTU - ist das wirklich so ein kritischer Wert..? Sollte ich mal hochsetzten? (Bin da echt nicht der Fachmann...)

Zum Vergrößern anklicken....

Hallo Markus,

Stell die MTU auf 1492 ein...

Beispiel:


Gruß
Sven

Hallo,

Woodpecker schrieb:

Kersten: die cachepeer-§§§ in der Squid.conf zeigen auf eine IP im Rechenzentrum,

Zum Vergrößern anklicken....

Die Frage ist das ein Proxy? sonst bringt der Eintrag nix!

Woodpecker schrieb:

die inet bei eth0 natürlich auf meinen lokalen Server (beides mal keine 192.168...)
meine NT und XP-Clients haben die normale Netzwerkeinrichtung genossen

Woodpecker schrieb:

und im IE (oder auch Netscape schon versucht) die normalen Proxyeinträge (mit der Server-IP)...

Zum Vergrößern anklicken....

Was heißt das! einen Gateway und DNS den es auch gibt eingetragen?

Bei der Proxy Einträgen von Hand  oder ein Script
Der richtige Port eingetragen

Hm, der MTU im normalen LAN sollte/kann 1500 betragen

Woodpecker schrieb:

Danke für Eure Mühen - ist echt nervig, dass das nicht richtig geht...

Zum Vergrößern anklicken....

Das ist wohl wahr ;D

Zum Vergrößern anklicken....

Hallo zusammen,
entschuldigt die späte Rückmeldung.. ich hatte gestern nebenbei versucht, das Problem zu lösen, aber die andere Arbeit frißt mich gerade auf...

OK, ich versuche mal eine Antwort auf eure Fragen bzw. Tipps

Sven: ich habe auf MTU 1492 umgestellt, hat sich aber nichts geändert. Ich lasse die Einstellung einfach mal drin stehen..

Kersten: du hast mich da mit der Frage nach einem DNS auf eine Idee gebracht: in der named.conf vom bind waren keine forwarders eingetragen und auch der Port 53 der query-source adress war als Kommentarzeile dringestanden. Habe das geändert, aber leider keine Änderung.
In der Netzwerkeinrichtung der Clients ist ein Gateway und DNS eingetragen, werde da aber heute - wenns langt - noch die zwei Telekom DNS 62.225.251.16 und 194.25.2.129 eintragen (habe ich auch als forwarders eingetragen)
Als Gateway ist die Router-IP eingetragen...

Netzwerktechnisch läuft alles (außer mein anderes Problem unter XP - Sven hat das ja auch schon gefunden...), meine Emulationen der Großrechnerprogramme sowie die TCP/IP-Anbindung an das RZ geht alles, ich bin echt langsam am verzweifeln... :'(

Ach ja: Proxy-Eintrag im IE von Hand - alles über Port 3128

Ich schicke mal die Fehlermeldung mit, wenn ich meine Mails bei NGATE abrufen will... das Aufrufen der Startseite mit den Eingabefeldern für die Zugangsfelder geht, ich gebe die Daten ein, schicke sie ab und das kommt dann nach einiger Zeit:
ERROR
The requested URL could not be retrieved
--------------------------------------------------------------------------------
While trying to retrieve the URL: http://mail.ngate.de/webinterface
The following error was encountered:
Connection Failed
The system returned:
    (110) Connection timed out
The remote host or network may be down. Please try the request again.

Das gleiche kommt übrigens auch hier im Win Total Forum: wenn ich auf antworten gehe, kommt die Eingabemaske hier. wenn ich nach dem ausfüllen dann auf Eintrag oder Vorschau gehe, passiert nix bis zum Timeout...

Ach ja, noch was:
die IP für eth0 inet und brodcast ist bis in den vorderen drei Blöcken identisch - diese Einstellung hatte sich beim Umstellen der MTU verändert - habe ich aber wieder zurückgeändert...

So, viele, viele Worte - ich hoffe, ich habe es halbwegs sinnvoll rübergebracht - der EDV-Job hier weitet sich echt noch zur Halbtagesstelle aus, dabei sind es nur 10 Prozent...

Naja, ie heißt's: lerne klagen, ohne zu leiden.

Viele Grüße,
Markus

Hallo,

Woodpecker schrieb:

die cachepeer-§§§ in der Squid.conf zeigen auf eine IP im Rechenzentrum,

Zum Vergrößern anklicken....

Die Frage ist das ein Proxy? sonst bringt der Eintrag nix!


Die Frage ist immer Noch ist das ein Proxa-Server im Rechen zentrum oder ist das bloß das Gate?

die Clients erhalten die ihren Kram also IP, Gate usw per DHCP oder  feste Einträge

Hallo Kersten,

hatte ich das vergessen zu schreiben? sorry:
das im Rechenzentrum ist ein Proxy!

Die Daten für die Clients sind fest eingestellt, DHCP deaktivert

Grüße,
Markus

Hallo,

Hm, die Regelgeschichte würde bei mir etwa soaussehen
acl all src 0.0.0.0/0.0.0.0  <- das würd' ich präzisieren
acl my_net <- hier dein(e) Netze z.B.
# 192.168.100.20-192.168.100.200
# 192.168.200.20-192.168.200.200
#
ja ich weiß das das nicht dein Bereich ist
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT

#Default:
# http_access deny all
#

http_access deny manager
http_access allow purge localhost
http_access deny !Safe_ports
http_access deny purge
http_access deny CONNECT !SSL_ports


http_access allow all
http_access allow manager localhost
http_access allow localhost
http_access allow my_net
http_access deny all

hast du einen icp_port 3130
oder wie der von deinen Parent-Proxy auch immer ist, festgelegt?

Zitat:
#
ja ich weiß das das nicht dein Bereich ist
#

is gut, bin ja schon ruhig

Danke für die Variante, ich stelle das mal bei mir in der conf um. Wäre super, wenn es doch so einfach zu lösen wäre...

Ich übrigens so frei mir deine Verhaltensregeln für EDV-Personal auszudrucken... kriegt mein Chef bei seienr nächsten Rückfrage, wann es denn funktioniert...  ;D

Melde mich hier wieder!

Gruß,
Markus

Hallo Kersten,

habe meine conf mal umgestellt.
Leider keine Änderung und mein Webmin ging auch nicht mehr (access denied)
Habe die Reihenfolge geändert, jetzt gehts:
die Zeilen http_access allow all
und http_access allow manager localhost
habe ich vor die erste Zeile http_access deny manager
geschrieben, dann ging der Webmin wieder
aber sonst keine Änderungen..

Bezüglich ICP-Port hast du recht... das wird vom RZ nicht unterstützt - siehe in der conf weiter oben: icp_port 0
habe das in der cache-peer-Zeile gleich geändert...

Habe jetzt noch eine Sitzung, kann daher heute nicht mehr weiter probieren..

Dir und allen Mitlesern einen schönen Abend,

Woodpecker / Markus

Aus meinem anderen Thread:

=============

Hallo,
mal einen Zwischenbericht:
ich hatte einen Fachmann hier - leider konnte auch er das Problem nicht finden. Er grenzte es zumindestens ein:
es scheint ein Problem mit der Authentifizierung im SMB-Protokoll zu sein.
Da gibt es einige Einstellungsmöglichkeiten unter XP, hat da einiges probiert, aber leider keine Änderung/Verbesserung eingetreten..

Ich bin inzwischen soweit, dass ich hier einen Ersatzserver aufsetze(n) lassse und das ganze mal mit 100-prozent aktuellen Updates laufen lasse.
Dann wird sich zeigen, ob sich das Problem (und das mit meinem SQUID) dann vielleicht erledigt

EDV = (E)lender (D)reck, (V)erreckter

Grüße,
Markus

===========

Also, mal sehen, ob das Problem vielleicht auf diese Art und weise in den Griff zu kriegen ist...

Hallo,

läßt du eine Authentifizierzúng der User durchführen?

Was soll das mit dem smb-Protokoll zutun haben?

Hi,

Ich denke er meint Externe Autentifizierung - enweder NTLM Auth (sprich, nen NT4 (oder höher) PDC / LDAP oder Kerberos.

??? ???

Gruß
Sven

Hallo,

RavensMetaller schrieb:

Hi,

Ich denke er meint Externe Autentifizierung - enweder NTLM Auth (sprich, nen NT4 (oder höher) PDC / LDAP oder Kerberos.

Zum Vergrößern anklicken....

Hm NTLM NT4/2000 ok aber LDAP und Kerberos

Autsch, Entschuldigung Herr Moderator! ;D

Nachträglich meinen Glückwunsch und Anerkennung

KerstenG schrieb:

Nachträglich meinen Glückwunsch und Anerkennung

Zum Vergrößern anklicken....

Man(n) dankt