<div dir="auto">Is the ubuntu able to reach Internet?<div dir="auto">Do you see any events at squid access log?</div><div dir="auto"><br></div><div dir="auto">Alex</div><div dir="auto"><br></div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, May 9, 2018, 07:59 Ilias Clifton <<a href="mailto:adilias3@gmx.com">adilias3@gmx.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
 Hi Alex,<br>
<br>
On the wccp0 interface I only see traffic arriving in 1 direction - original client ip to destination ip.<br>
<br>
The ubuntu box only has a single ethernet interface -  Sorry, that should have been in my original question. I see the gre traffic arriving from the router, but again - no response.<br>
<br>
I tried adding a MASQUERADE line to the iptables rules, just to see if it made a difference.. but same result.<br>
<br>
<br>
 <br>
<br>
Sent: Wednesday, May 09, 2018 at 2:37 PM<br>
From: "Alex K" <<a href="mailto:rightkicktech@gmail.com" target="_blank" rel="noreferrer">rightkicktech@gmail.com</a>><br>
To: "Ilias Clifton" <<a href="mailto:adilias3@gmx.com" target="_blank" rel="noreferrer">adilias3@gmx.com</a>><br>
Cc: <a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a><br>
Subject: Re: [squid-users] Help with WCCP: Cisco 1841 to Squid 3.5.25 on Ubuntu 16<br>
<br>
Hi,<br>
 <br>
At the wccp0  interface do you see bidirectional http traffic? If the squid box has multiple interfaces, do you see traffic on its wan interface? That traffic might need NATing. Also I would check if squidbox drops any packages in case you have firewall configured on it.<br>
 <br>
Alex<br>
  <br>
<br>
On Wed, May 9, 2018, 07:22 Ilias Clifton <<a href="mailto:adilias3@gmx.com" target="_blank" rel="noreferrer">adilias3@gmx.com</a>[mailto:<a href="mailto:adilias3@gmx.com" target="_blank" rel="noreferrer">adilias3@gmx.com</a>]> wrote:<br>
Hello,<br>
 <br>
I've been trying to get WCCP working but have been banging my head against a wall, so thought I would ask for help.<br>
 <br>
There are 2 internal subnets that I would like to use the squid proxy: <a href="http://172.28.30.128/25%5Bhttp://172.28.30.128/25%5D" rel="noreferrer noreferrer" target="_blank">172.28.30.128/25[http://172.28.30.128/25]</a> and <a href="http://172.28.29.0/25%5Bhttp://172.28.29.0/25%5D" rel="noreferrer noreferrer" target="_blank">172.28.29.0/25[http://172.28.29.0/25]</a><br>
 <br>
I have squid v3.5.25 running on Ubuntu 16 : 172.28.28.252<br>
 <br>
I have a Cisco 1841 - Adv IP - 12.4, see relevent config:<br>
 <br>
#Inside Interface<br>
interface FastEthernet0/1<br>
 ip address 172.28.28.1 255.255.255.240<br>
 ip wccp web-cache redirect in<br>
 ip nat inside<br>
 ip virtual-reassembly max-reassemblies 64<br>
 no ip mroute-cache<br>
 duplex auto<br>
 speed auto<br>
 <br>
#Loopback for wccp router ID<br>
interface Loopback0<br>
 ip address 172.28.28.33 255.255.255.255<br>
 <br>
ip wccp web-cache redirect-list PROXY_USERS group-list SQUID<br>
 <br>
ip access-list extended PROXY_USERS<br>
 deny   tcp host 172.28.28.252 any<br>
 permit tcp 172.28.30.128 0.0.0.127 any eq www<br>
 permit tcp 172.28.29.0 0.0.0.127 any eq www<br>
 deny   ip any any<br>
 <br>
ip access-list standard SQUID<br>
 permit 172.28.28.252<br>
 <br>
 <br>
 <br>
On the Ubuntu box, I have the squid with the following config:<br>
 <br>
http_port 3128<br>
http_port 3129 intercept <br>
acl localnet src <a href="http://172.28.28.0/22%5Bhttp://172.28.28.0/22%5D" rel="noreferrer noreferrer" target="_blank">172.28.28.0/22[http://172.28.28.0/22]</a>   <br>
http_access allow localnet<br>
http_access allow localhost<br>
http_access deny all<br>
visible_hostname Squid<br>
wccp2_router 172.28.28.1<br>
wccp2_forwarding_method gre<br>
wccp2_return_method gre<br>
wccp2_service standard 0<br>
 <br>
If clients are manually set to use the proxy on port 3128, they work correctly.<br>
 <br>
Again on the Ubuntu box, I have setup the following gre tunnel.<br>
 <br>
ip tunnel add wccp0 mode gre remote 172.28.28.33 local 172.28.28.252 dev ens33 ttl 255<br>
 <br>
and the following redirect using iptables..<br>
 <br>
iptables -t nat -A PREROUTING -i wccp0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129<br>
 <br>
In sysctl.conf, I have disabled reverse path filtering and enabled ip forarding.<br>
 <br>
net.ipv4.conf.default.rp_filter=0<br>
net.ipv4.conf.all.rp_filter=0<br>
net.ipv4.ip_forward=1<br>
<br>
When starting squid, using tcpdump, i see traffic between the Ubuntu box and the router on udp port 2048<br>
<br>
00:39:34.587799 IP 172.28.28.252.2048 > 172.28.28.1.2048: UDP, length 144<br>
00:39:34.590399 IP 172.28.28.1.2048 > 172.28.28.252.2048: UDP, length 140<br>
<br>
I see the following message on the router..<br>
%WCCP-5-SERVICEFOUND: Service web-cache acquired on WCCP client 172.28.28.252<br>
<br>
So looks like it's working ok so far...<br>
<br>
When I try and browse to a site from a client..<br>
$ wget <a href="http://www.google.com" rel="noreferrer noreferrer" target="_blank">http://www.google.com</a>[<a href="http://www.google.com" rel="noreferrer noreferrer" target="_blank">http://www.google.com</a>]<br>
<br>
On the Ubuntu box, I see gre traffic on the ethernet interface..<br>
00:44:22.340734 IP 172.28.28.33 > 172.28.28.252[<a href="http://172.28.28.252" rel="noreferrer noreferrer" target="_blank">http://172.28.28.252</a>]: GREv0, length 72: gre-proto-0x883e<br>
<br>
<br>
I see the un-encapsulated traffic on the wccp0 interface:<br>
00:56:26.888519 IP 172.28.29.4.52128 > 216.58.203.100.80<br>
<br>
Which is correctly showing original client IP and destination IP.<br>
<br>
I can see hits on the iptable redirect rule:<br>
pkts bytes target     prot opt in     out     source               destination         <br>
  429 26280 REDIRECT   tcp  --  wccp0  any     anywhere             anywhere             tcp dpt:http redir ports 3129<br>
<br>
<br>
But there is no response from squid on the Ubuntu box :-(<br>
<br>
I don't see anything helpful in either access.log or cache.log.<br>
<br>
I'm not sure if there is anything else that could be dropping the packet apart from return path filtering..<br>
<br>
If someone could give me some pointers or any further debugging I could try, that would be great.<br>
<br>
<br>
Thanks.<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
 <br>
 <br>
 <br>
 <br>
 <br>
 <br>
 <br>
 <br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a>[mailto:<a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a>]<br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>