Как настроить прозрачное проксирование Squid + Cisco ASA по WCCP?

Question

gadzhikuliev @gadzhikuliev

Cisco
Squid

Как настроить прозрачное проксирование Squid + Cisco ASA по WCCP?

Коллеги, добрый день.
Настраиваю прозрачный прокси Squid с перенаправлением с Cisco ASA по WCCP. Сам Squid уже настроен с авторизацией через Active Directory (Kerberos и LDAP-группы), работает, если у клиента прописать настройки прокси. Используемая ОС - CentOS 7, установлена на виртуальной машине. Адрес физического интерфейса прокси-сервера - 172.31.4.64/24. Адрес интерфейса ASA, которым устройство "смотрит" во внутреннюю сеть, 172.31.0.4/24.

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:50:56:af:43:91 brd ff:ff:ff:ff:ff:ff
    inet 172.31.4.64/24 brd 172.31.4.255 scope global noprefixroute ens32
       valid_lft forever preferred_lft forever
    inet6 fe80::250:56ff:feaf:4391/64 scope link
       valid_lft forever preferred_lft forever

Настраивал туннелирование в CentOS 7:

modprobe ip_gre
ip tunnel add wccp0 mode gre remote 172.31.0.4 local 172.31.0.150 dev ens32
ip link set wccp0 up

Дальше создал файл /etc/sysconfig/network-scripts/ifcfg-wccp0. Вот тут уже непонятно, как его описать, когда в случае туннеля на ASA внешний и внутренний адрес туннеля один и тот же:

ONBOOT=YES
DEVICE=wccp0
TYPE=GRE
IPADDR=172.31.0.150                    # Внутренний адрес туннеля
MY_INNER_IPADDR=172.31.0.150           # Внутренний адрес туннеля
MY_OUTER_IPADDR=172.31.4.64            # Внешний адрес, на котором будем создавать туннель
PEER_INNER_IPADDR=172.31.0.4           # Внутренний адрес туннеля с другой стороны
PEER_OUTER_IPADDR=172.31.0.4           # Внешний адрес, куда будет создаваться туннель

После этого сеть пропадает вообще, что вполне объяснимо. Пробовал подключать второй физический сетевой интерфейс и назначал ему адрес 172.31.0.150/24, применял разные варианты, как настроить, но никак.
Настройки Squid:

http_port 172.31.4.64:3128
http_port 172.31.0.150:3127 intercept

wccp2_router 172.31.0.4
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0 password=cisco

Настройки ASA. 172.31.10.71 - адрес тестовой машины, пока на ней доступ проверяю.

object network local_pc host 172.31.10.71
access-list redirect_to_squid extended permit tcp object local_pc any eq www
wccp web-cache redirect-list redirect_to_squid password cisco
wccp interface inside web-cache redirect in

Если кто сталкивался, прошу помочь. Заранее благодарю.