Пустить интернет трафик клиентов OpenVpn через Squi

Komito · Mar 28, 2018, 4:25 PM

Здравствуйте!
Есть pFsense-сервер. На сервере Wan-интерфейс (пусть 62.62.62.62), Lan-интерфейс 10.1.1.10, на нем же поднят Squid(прозрачный) со стандартным портом. Так же поднят OpenVpn с интерфейсом(Opt1) 192.168.100.1. Ip-адреса клиентам я раздаю статические через ifconfig-push из диапазона 192.168.100.0/24. Шлюз по умолчанию на сервере 10.1.1.1. Внутренние пользователи ходят в инет через Squid без проблем. Задача стоит завернуть весь трафик OpenVpn клиента в туннель с доступом в интернет через Squid.
Трафик пользователя я заворачиваю в туннель без проблем, через настройки OpenVpn сервера. А вот с настройкой доступа в интернет через Squid проблемы. Пробовал через nat/port forward настраивать проброс http трафика на Squid, не работает. В правилах файервола доступ из openvpn подсети к подсети Squid'а разрешил. Все равно интернета нет. Подскажите, пожалуйста, в какую сторону копать?

Komito · Mar 28, 2018, 5:20 PM

У клиентов не должен быть прописан прокси. Клиент, к примеру, подключается к OpenVpn c собственного смартфона и в момент подключения интернет должен идти через мой Squid. В остальных случаях интернет должен работать клиентский.

Rarog · Mar 28, 2018, 5:31 PM

В настройках сквида укажите Proxy Interface(s) , Transparent Proxy Interface(s) на интерфейс OPT 1, работает?

Komito · Mar 29, 2018, 5:38 AM

Нет, не заработало. В логах squid'а пусто. Попробовал прописать прокси в браузере, тоже инета нет. Добавление клиента в Acl лист сквида тоже не дало результатов. Правило firewall для доступа к сквиду настроено.

werter · Mar 29, 2018, 7:27 AM

Добрый.
Завернуть весь трафик клиентов в туннель.
Разрешить сеть клиентов 192.168.100.0/24 в настройках сквида

Так же поднят OpenVpn с интерфейсом(Opt1) 192.168.100.1

Удалить явно созданный впн-интерфейс. Попробовать сперва без него.

Komito · Mar 29, 2018, 10:55 AM

Здравствуйте!
Удалил явно созданный OpenVpn интерфейс. Завернуль весь трафик клиентов в туннель (Force all client-generated IPv4 traffic through the tunnel). В настройках сквида в ACLs в Allowed Subnets прописал подсеть впн клиентов (192.168.100.0.24). Не помогло. Интернета нет. В логах сквида только локальные пользователи. В настройках сквида Proxy Interface настройен на Lan и Loopback.

werter · Mar 29, 2018, 2:30 PM

Есть pFsense-сервер. На сервере Wan-интерфейс (пусть 62.62.62.62), Lan-интерфейс 10.1.1.10 … Шлюз по умолчанию на сервере 10.1.1.1.

?

В настройках сквида в ACLs в Allowed Subnets прописал подсеть впн клиентов (192.168.100.0**.24**)

192.168.100.0**/24**

Komito · Mar 29, 2018, 3:10 PM

Allowed Subnets конечно 192.168.100.0/24 прописал. Опечатался.
Насчет шлюза, созданы два шлюза. Один на 10.1.1.1, другой на Wan интерфейсе. Дефолтным является шлюз на Wan интерфейсе. И да, обратил внимание что клиент OpenVpn не получает шлюз. ДНСы внутренние получает, а адрес шлюза пустой.

Komito · Mar 30, 2018, 7:09 AM

Инет появляется если прописать адрес прокси в браузере OpenVpn клиента. По умолчанию инет так и не работает.
Так же не резолвятся внутренние адреса сети. Есть внутренний DNS поднятый на контроллере домена. В system/general setup прописад адрес dns серверов. Поставил галочки DNS Query Forwarding/
Enable Forwarding Mode и Enable DNS forwarder. В правилах firewal'а в OpenVpn прописал разрешение на 53 порт к этим серверам. В логах firewal'а обращения к этим серверам с клиента проходят, а имена не резолвятся.

werter · Mar 30, 2018, 7:37 AM

Добрый.
@Komito:

Насчет шлюза, созданы два шлюза. Один на 10.1.1.1, другой на Wan интерфейсе. Дефолтным является шлюз на Wan

Зачем два шлюза?
Нарисуйте схему сети, пож-та