3 прокси сервера и captive portal.. помогите, очень сильно

lastic

В общем попробую доходчиво описать суть проблемы… для одной бюджетной(социальной) организации на pfsense 2.0 строиться hotpost, суть его будет только в учете пользователей по средствам ваучеров. так вот, все установлено но проблема в том, для конечного шлюза, трафик проходит три прокси сервера (на схеме показано) 1.прозрачный squid  -pfsense(hotspot) 2. общий учреждения (не прозрачный) 3. провайдера (не прозрачный).. и так суть проблемы... клиент хотпост может гулять по сайтам, но нигде не может авторизоваться, контакт, майл и т.д. вводишь логин пароль жмешь войти и на этом все, крутит соединение и больше ничего (скажу сразу, в настройках фаервола разрешено все), на некоторые https (gmail) вообще зайти не может.. но проблема решается если в настройка браузера клиента хот пост указать второй прокси (2.2.2.2:8080) тогда все пуляет как надо, везде авторизовываться, так как избавиться от прокси 1.1.1.1:8080 и переадресовать запросы с pfsense сразу на 2.2.2.2:8080 или как заставить прокси 3.3.3.3:8080 везде авторизовываться??? Много написал, надеюсь более или мене понятно... P.S. 1. клиент хотпост авторизован на сайте, то он может и нормально лазать через 1.1.1.1:8080, если нет то авторизацию ему не пройти. 2. Некоторый сайты скидывают соединение с формулировкой обнаружен многочисленный переход, но это решается повторной загрузкой сайта. вообщем проблема походу в https..3. желательно избавиться от 3.3.3.3:8080 и выходить сразу через 2.2.2.2:8080 куда смотреть?? всем спасибо зранее.

dvserg

На прокси 3.3.3.3 указать родительским один из вышестоящих прокси.

lastic

@dvserg:

На прокси 3.3.3.3 указать родительским один из вышестоящих прокси.

прошу прощения в конце неправильно написал надо избавиться от 3.3.3.3:8080 (а не от 1.1.1.1:8080) и использовать его тупо как маршурутизатор и фаервол,  исправил 1 сообщение… а так на 3.3.3.3:8080 прописан 2.2.2.2:8080 во вкладке сквида "upstream proxy" иначе интернет вообще не пойдет..надо что-то другое..Кашерно было бы вообще избавиться от последнего прокси, этим и уменьшить количество переходов.. еще 2.2.2.2:8080 прописан в System: Advanced: Miscellaneous - если не прописать сквид и другие пакеты не качнешь...

dvserg

Тогда в чем проблема убрать прокси 3.3.3.3 ?

lastic

@dvserg:

Тогда в чем проблема убрать прокси 3.3.3.3 ?

не работает, в  прозрачном режиме без сквида, все равно в браузере прокси надо вбивать (2.2.2.2:8080).. сквид ставишь, указываешь прозрачность начинает работать..

rubic

Когда вы ставите squid в прозрачном режиме на 3.3.3.3 с указанием 2.2.2.2 как upstream proxy у вас начинает работать http, но не https, т.к. squid в прозрачном режиме не проксирует https. Либо вы ставите непрозрачный режим на 3.3.3.3, либо делаете проброс всех портов, которые необходимо проксировать (alias:ports2proxy), из LAN на 2.2.2.2:8080 :

Interface: LAN
Protocol: TCP
Source: LAN subnet
Source port range: any
Destination: any
Destination port range: ports2proxy
Redirect target IP: 2.2.2.2
Redirect target port: 8080

Имейте ввиду, что даже если это заработает (думаю, никто не проверял), то ограничивать трафик из LAN на прокси 2.2.2.2 правилами брандмауэра вы уже не сможете.

lastic

@rubic:

Когда вы ставите squid в прозрачном режиме на 3.3.3.3 с указанием 2.2.2.2 как upstream proxy у вас начинает работать http, но не https, т.к. squid в прозрачном режиме не проксирует https. Либо вы ставите непрозрачный режим на 3.3.3.3, либо делаете проброс всех портов, которые необходимо проксировать (alias:ports2proxy), из LAN на 2.2.2.2:8080 :

Interface: LAN
Protocol: TCP
Source: LAN subnet
Source port range: any
Destination: any
Destination port range: ports2proxy
Redirect target IP: 2.2.2.2
Redirect target port: 8080

Имейте ввиду, что даже если это заработает (думаю, никто не проверял), то ограничивать трафик из LAN на прокси 2.2.2.2 правилами брандмауэра вы уже не сможете.

попробую завтра еще порты пробросить, до этого прообрасывал, так херню какую-то выдавал… интересно в том, что на freebsd указав в /etc/make.conf вышестоящий прокси все "пуляет" и без сквида, тут нифига не хочет... может где в конфигурационном файле еще можно прокси прописать но конечно еще и с пробросом попробую... Спасибо...