Thaiadmin

fortigate WCCP+Squid proxy

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ nufoam

  • *
  • 37
  • 0
fortigate WCCP+Squid proxy
« เมื่อ: 25 ตุลาคม 2014, 12:27:44 »
พอดีหนูมี project จะต้องทำ fortigate wccp +squid proxy นะค่ะ พอจะมีท่านพี่ๆท่านใด ที่มีประสบการณ์ทำมาแล้วบ้างค่ะ หนูหาอ่านคู่มือตามเว็บต่างๆวิธีต่างๆหลายที่แล้วไม่เหมือนกันสักวิธีจนไม่รู้เลยว่า ตกลงแล้วมันทำได้ไหม คือการจะใช้ fortigate firewall ไปเรียกใช้ squid proxy ในการใช้ อินเตอร์เน็ตนะค่ะ เพื่อลด bandwidth ค่ะ
รบกวนขอข้อมูลแนวทางด้วยนะค่ะ ไม่เคยใช้แบบนี้จริงๆค่ะ วิธีการคู่มือต่างๆก็หายากไม่มีคนนิยมทำกันเลย ส่วนใหญ่ จะใช้แบบอื่นกันหมด

1.ได้ลองทำตามเว็บนี้ดูแล้วค่ะ  http://www.fortinetthai.com/html/modules.php?name=Forums&file=viewtopic&t=1323&highlight=teang
โดยอาศัย policy routes แต่ผล คือ วิ่งออกเน็ตตรงๆเลย tracert ดูก็ไม่ผ่าน proxy วิ่งออกตรงๆค่ะ
2.ต่อมาได้ลองทำตามเว็บนี้ค่ะ http://kb.fortinet.com/kb/viewContent.do?externalId=FD30096 และ http://squid-web-proxy-cache.1019090.n4.nabble.com/Transparent-Mode-and-WCCP-td4657862.html ก็พยายาม set แถบจะทุกขั้นตอนค่ะ ผลที่ออกมา หลังจาก เปิด wccp enable ที่ firewall policy mี่จะให้เล่น เน็ต LAN อะค่ะ ออกเน็ตไม่ได้ทันทีค่ะ พอ diable ใช้ได้ แล้วก็ลองดูหลายๆเว็บที่ใกล้เคียงกับเว็บนี้ ทำแล้วทำอีกผลก็เหมือนเดิมค่ะยังไงก็ไม่ได้สักที ที่ ubuntu เองก็ใช้คำสั่ง redirect ไป port 3128 แล้วค่ะ ทำทุกอย่างตอนแรกใช้เป็น 8080 มันก็ไม่ได้

ขอบคุณมากค่ะ

ออฟไลน์ khtm

  • *
  • 98
  • 1
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #1 เมื่อ: 25 ตุลาคม 2014, 12:49:54 »
พอดีหนูมี project จะต้องทำ fortigate wccp +squid proxy นะค่ะ พอจะมีท่านพี่ๆท่านใด ที่มีประสบการณ์ทำมาแล้วบ้างค่ะ หนูหาอ่านคู่มือตามเว็บต่างๆวิธีต่างๆหลายที่แล้วไม่เหมือนกันสักวิธีจนไม่รู้เลยว่า ตกลงแล้วมันทำได้ไหม คือการจะใช้ fortigate firewall ไปเรียกใช้ squid proxy ในการใช้ อินเตอร์เน็ตนะค่ะ เพื่อลด bandwidth ค่ะ
รบกวนขอข้อมูลแนวทางด้วยนะค่ะ ไม่เคยใช้แบบนี้จริงๆค่ะ วิธีการคู่มือต่างๆก็หายากไม่มีคนนิยมทำกันเลย ส่วนใหญ่ จะใช้แบบอื่นกันหมด

1.ได้ลองทำตามเว็บนี้ดูแล้วค่ะ  http://www.fortinetthai.com/html/modules.php?name=Forums&file=viewtopic&t=1323&highlight=teang
โดยอาศัย policy routes แต่ผล คือ วิ่งออกเน็ตตรงๆเลย tracert ดูก็ไม่ผ่าน proxy วิ่งออกตรงๆค่ะ
2.ต่อมาได้ลองทำตามเว็บนี้ค่ะ http://kb.fortinet.com/kb/viewContent.do?externalId=FD30096 และ http://squid-web-proxy-cache.1019090.n4.nabble.com/Transparent-Mode-and-WCCP-td4657862.html ก็พยายาม set แถบจะทุกขั้นตอนค่ะ ผลที่ออกมา หลังจาก เปิด wccp enable ที่ firewall policy mี่จะให้เล่น เน็ต LAN อะค่ะ ออกเน็ตไม่ได้ทันทีค่ะ พอ diable ใช้ได้ แล้วก็ลองดูหลายๆเว็บที่ใกล้เคียงกับเว็บนี้ ทำแล้วทำอีกผลก็เหมือนเดิมค่ะยังไงก็ไม่ได้สักที ที่ ubuntu เองก็ใช้คำสั่ง redirect ไป port 3128 แล้วค่ะ ทำทุกอย่างตอนแรกใช้เป็น 8080 มันก็ไม่ได้

ขอบคุณมากค่ะ



ไม่แน่ใจว่าใช้ Fortigate ร่นไหนอยู่นะครับ
Internet กี่เมกกี่เส้น
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ nufoam

  • *
  • 37
  • 0
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #2 เมื่อ: 25 ตุลาคม 2014, 13:46:30 »
80C ค่ะ มีเส้นเดียวค่ะ แต่ แบ่งไว้ 7 vlan ค่ะ  แต่มี คำสั่ง wccp นะค่ะ Forti OS Version 5.2.1 ค่ะ

ออฟไลน์ Mutual

  • **
  • 603
  • 0
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #3 เมื่อ: 25 ตุลาคม 2014, 13:54:00 »
ผมก็ไม่ได้ทำนานแล้วนะครับ เพราะไม่คุ้มค่าในการทำแล้วครับ

sizing เล็ก กลาง cache แทบไม่ hits แล้วครับ

ทุกวันนี้ก็แทบจะเหลือการทำ cache แค่ในระดับ provider tier ต่างๆ ขึ้นไปเท่านั้นครับ

ตอบ
ข้อ 1. tracert  เฉย ไม่สามารถเช็คเส้นทางการวิ่งของ http traffic ได้นะครับ
เพราะเวลาคุณ tracert มันไม่ใช่ port 80 มันก็ไม่โดน rules ที่จะทำ redirect เข้า proxy ครับ

ข้อ 2.
ผมก็ไม่รู้เหมือนกันนะครับว่าคุณทำถูกไหม
แต่ลองเทส proxy ก่อนเฉยๆ ว่าทำงานได้ไหมโดยยังไม่ต้องใช้ fw redirect ครับ
1> ใช้ broswer ชี้ใส่ proxy ตรงๆเลย แล้วเล่นให้ได้ก่อน
2> ถ้าได้แล้วค่อยไป redirect port ที่ fw เอาเฉพาะ 80 ก่อนก็ได้ครับ
รับงาน Implement/ IT Solution / PM /Consulting
> Networking, Virtualization,SAN Storage, Security, Email, VoIP
> IP Camera, Wireless, Wireless Mesh, Backup Replicate
> ปรึกษาปัญหา IT  พูดคุยกันก่อนได้ครับ
https://www2.thaiadmin.org/board/index.php?topic=150876.0
email: info@mutualtel.com 08-6654-5073

ออฟไลน์ canoodle

  • ***
  • 161
  • 1
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #4 เมื่อ: 25 ตุลาคม 2014, 14:09:08 »
ลองดูตามนี้ครับ fortigate 4.0 with linux squid ( Ubuntu 10.04 ) นำไปประยุกต์ใช้ต่อได้ครับ  ;)

http://connect.pixnet.net/blog/post/33080793-fortigate-4.0-with-linux-squid-(-ubuntu-10.04-)

ออฟไลน์ nufoam

  • *
  • 37
  • 0
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #5 เมื่อ: 25 ตุลาคม 2014, 14:50:33 »
หนูเคยทำตามแล้วค่ะเว็บนี้ ใช้ไม่ได้อะค่ะ สงสัยเพราะภาษาอะค่ะพี่ คือ อังฤกษอะได้นะ แต่นี่มันภาษาจีนกำค่ะ

ออฟไลน์ wason555

  • *****
  • 4,873
  • 51
  • เพศ: ชาย
  • ทุนนิยมสุดโต่งล่มสลาย เศรษฐกิจพอเพียงคือทางรอด
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #6 เมื่อ: 25 ตุลาคม 2014, 15:01:41 »
จริงๆ ถ้าจะลดแบนด์วิช แนะนำให้ทำ QoS ที่ตัว Fortigate เลยคงเหมาะกว่า จริงๆ แล้วมันมีโปรดักส์ที่เกี่ยวกับ Proxy ของ FortiGate เองด้วย ชื่อว่า
FortiCache ครับ http://www.fortinet.com/products/forticache/index.html
http://www.fortinet.com/products/forticache/web-caching-app-series.html

ไม่แน่ใจว่าใช่ไหมนะครับ แต่ราคาคงไม่น่าจะถูกอยู่แล้วละ
สำหรับใครที่เดือดร้อนจากงานออนไลน์ผ่านเน็ตแล้วต้องการคืนสินค้าและคืนเงิน หรือแจ้งเบาะแสต่างๆ ไม่ว่าจะเป็น bHIP Global , ศูนย์สุขภาพ BNA (คนทำคนเดียวกันคือ Global Advertising) หรือ Hyadz.biz , GRC และอื่นๆ อีก เจอกันได้คครับที่ สำนักข่าววางเพลิง
http://www.facebook.com/flamenews.antibhip
http://www.facebook.com/flamenews


ออฟไลน์ nufoam

  • *
  • 37
  • 0
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #7 เมื่อ: 25 ตุลาคม 2014, 15:05:12 »
ถ้าจะเพิ่ม product เค้าไม่ยอมแน่นอนค่ะ ส่วนเรื่อง QOS ทำอยู่แล้วค่ะตอนนี้

ออฟไลน์ canoodle

  • ***
  • 161
  • 1
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #8 เมื่อ: 25 ตุลาคม 2014, 15:12:09 »
หนูเคยทำตามแล้วค่ะเว็บนี้ ใช้ไม่ได้อะค่ะ สงสัยเพราะภาษาอะค่ะพี่ คือ อังฤกษอะได้นะ แต่นี่มันภาษาจีนกำค่ะ

ใช้ google chrome แปลภาษาได้เปล่าครับ  8)

ออฟไลน์ nufoam

  • *
  • 37
  • 0
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #9 เมื่อ: 25 ตุลาคม 2014, 15:52:43 »
กลุ้ม เจอพี่จีนไป T T ลองแล้วค่ะ มันก็แปลแบบอังกฤษอะค่ะ แปลมั่วๆ

ออฟไลน์ khtm

  • *
  • 98
  • 1
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #10 เมื่อ: 25 ตุลาคม 2014, 16:36:08 »
80C ค่ะ มีเส้นเดียวค่ะ แต่ แบ่งไว้ 7 vlan ค่ะ  แต่มี คำสั่ง wccp นะค่ะ Forti OS Version 5.2.1 ค่ะ

ใช้ Application Control , กับ Network Protocol เชคดูยงครับว่า
อะไรที่ว่างเยอะสุด ใช้ Bandwidth เยอะ
จริงๆ case ไม่ยากครับ ไม่ต้องทำ wccp+squid proxy ก็ได้ครับ

เบื้องหาสาเหตุก่อนครับว่าอะไรที่ทำให้ bandwidth เต็ม
อาจจะติดตรงเซตค่าบางอย่าง หรือ นโยบายการใช้งาน ระบบ Network ก็เป็นไปได้
สอบถามเพิ่มเติมได้ที่ line : layer8 ครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ g¦llÑáldö

  • *****
  • 1,522
  • 7
  • เพศ: ชาย
  • --> Secure your server <---
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #11 เมื่อ: 25 ตุลาคม 2014, 16:57:30 »
ตอนนี้ใช้งานอยู่ครับตั้งแต่ FortiOS 4.2 มาถึงตอนนี้่เพิ่งใช้งานบน FortiOS 5.0.9 ครับ
คอนเฟิร์มว่าทำตาม http://kb.fortinet.com/kb/viewContent.do?externalId=FD30096 แต่อาจจะมีประยุกต์เล็กน้อยในเรื่องของไอพีแอดเดรสครับ

ซึ่ง Fortigate ทำเป็น WCCP Server (หรืออาจจะเรียกว่า WCCP Router)
ส่วน Linux จะเป็น WCCP Client (หรืออาจจะเรียกว่า WCCP Cache Engine) ครับ ซึ่งการใช้งานจะต้องเป็น Forward และ Return method เป็น GRE ครับ
อาจจะลองดู Official Document http://docs.fortinet.com/d/fortigate-wan-optimization-web-cache-explicit-proxy-and-wccp-2 ในส่วนของ WCCP ประกอบครับ

ส่วนของ Linux + Squid นั้นอาจจะลองดู Document Cisco + Squid WCCP ประกอบครับ
http://www.crypt.gen.nz/papers/cisco_squid_wccp.html

ตอนนี้ FortiOS 5.2 ผมเองยังไม่ได้ใช้งานเท่าไหร่นักเลยยังไม่มีความเห็นครับ แต่ตอนนี้ผมแนะนำให้ใช้งานเป็น FortiOS 5.0 ก่อนจะดีกว่าครับ
 ;)
Hacker is friend, User is teacher
===================================
รับสอน FreeBSD, Linux, Window และการดูแลระบบ
http://www.thaiadmin.org/board/index.php?topic=516.0

หนังสือ Linux Server Administrator + Security
http://www.thaiadmin.org/board/index.php?topic=16756893.0

ออฟไลน์ nufoam

  • *
  • 37
  • 0
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #12 เมื่อ: 25 ตุลาคม 2014, 23:12:05 »
อ่านและทำมาหมดแล้วค่ะพี่ สงสัยตรงที่ว่า ใน diagram นั้นมันมี Router มาขั้นกลางนะค่ะพี่ แต่กรณีนี้ไม่มีค่ะ fortigate แล้วก็ dmz port ต่อกับ linux เลยนะค่ะ set ตามหมดแล้ว เปลี่ยน ip แล้วใช้ไม่ได้ค่ะ อีกอย่าง ในภาพเป็น centOS หรือ ubuntu ค่ะ

ออฟไลน์ g¦llÑáldö

  • *****
  • 1,522
  • 7
  • เพศ: ชาย
  • --> Secure your server <---
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #13 เมื่อ: 26 ตุลาคม 2014, 02:49:13 »
อ่านและทำมาหมดแล้วค่ะพี่ สงสัยตรงที่ว่า ใน diagram นั้นมันมี Router มาขั้นกลางนะค่ะพี่ แต่กรณีนี้ไม่มีค่ะ fortigate แล้วก็ dmz port ต่อกับ linux เลยนะค่ะ set ตามหมดแล้ว เปลี่ยน ip แล้วใช้ไม่ได้ค่ะ อีกอย่าง ในภาพเป็น centOS หรือ ubuntu ค่ะ

Router คั่นกลางไม่ได้เป็นปัญหานะครับ เพราะ Link อื่นๆ ที่เป็น Squid + Cisco ก็เป็นการต่อกันตรงๆ เหมือนกัน โดยหลักการแล้ว WCCP-Client จะประกาศตัวเองให้ WCCP-Server ทราบ ดังนั้นแปลว่าอยู่กันคนละคลาสก็ได้ขอแค่ Network เชื่อมถึงกันและไม่ได้มีการ NAT ก็พอแล้ว

ส่วน Linux นั้น ผมใช้เป็น CentOS 5, CentOS 6 ซึ่งก็ได้ผลเหมือนกัน จะว่าไปใช้ Linux Distro อื่นๆ ก็น่าจะได้ผลเหมือนกัน (ต่าง Distro มันก็แค่ path ต่างกันนิดหน่อยเท่านั้น) แต่หลักๆ มันอยู่ concept การทำงานครับ ที่เหลือคงต้องพยายามเองแล้วแหละ เรื่องแบบนี้ไม่รู้จะสอนกันได้ยังไง ถ้าไม่ได้ลองทำเอง  ;)
Hacker is friend, User is teacher
===================================
รับสอน FreeBSD, Linux, Window และการดูแลระบบ
http://www.thaiadmin.org/board/index.php?topic=516.0

หนังสือ Linux Server Administrator + Security
http://www.thaiadmin.org/board/index.php?topic=16756893.0

ออฟไลน์ yangky

  • **
  • 16
  • 0
  • เพศ: ชาย
  • TH@min Membership
Re: fortigate WCCP+Squid proxy
« ตอบกลับ #14 เมื่อ: 7 มิถุนายน 2017, 14:36:48 »
นำความรู้มาแบ่งปัน นะครับ ถูกผิด แนะนำกันได้ครับ ผมได้ทดลองทำตามกระทู้ แล้วไม่สามารถมช้งานได้ งง อยู่นาน เพราะ traffic ที่วิ่งไป squid กลายเป็น public ip สรุป ไปกำหนด policy ให้ ip ฝั่ง user สิ่งไปหา ip ฝั่ง squid ได้ แค่นั้นผ่าน ครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย