Navegacion de VPN RoadWarrior por Proxy
-
Saludos:
Quisiera saber si la navegacion web de los usuarios roadwarrior puede filtrarse por un proxy, estaba pensando en ccrear una regla en el firewall para direccionar todo el trafico web del 172.x.z.y al puerto 3128, bueno es algo que tengo en mente pero nose si sea valido. ojala me puedan dar una ayuda.
-
OpenVPN
Redirect Gateway Force all client generated traffic through the tunnel.Todo el tráfico del cliente va por la VPN. A partir de ahí, lo que decidas.
-
ok, pero he creado una regla de nat para que todo lo que venga de la interfaz OpenVPN por el protocolo TCP/UDP tenga como destino la tarjeta WAN y el puerto 80 y redireccione a la IP objetivo que es la ip 192.168.0.1, esto porque ya tengo un proxy funcionando en la red el cual tiene esa dirección, pero no hace caso y cargan todas las paginas, no se si esto este correcto o lo mejor seria implementar un proxy en el mismo pfsense donde esta la vpn.
P.D= serviría si marco la opción "Use Proxy - Use proxy to communicate with the server. " en la sección de OpenVPN: Client Export Utility
-
Igual no hace caso porque en Rules - OpenVPN tienes una regla por delante que autoriza cualquier tráfico.
O porque para hacer esto tu proxy debería operar en modo transparente.
serviría si marco la opción "Use Proxy - Use proxy to communicate with the server. " en la sección de OpenVPN: Client Export Utility
No veo donde está eso pero creo que estás hablando de configuraciones para pfSense clientes de pfSense servidores, no de clientes road warrior. Igual también funciona…
Diría, sin embargo, que la solución pasa por no permitir en Rules OpenVPN el tráfico directo hacia internet y obligar a los usuarios a poner el proxy en el navegador.
Si esto último es un problema, tienes varias soluciones: autodescubrimiento del proxy (wpad), archivo de configuración (proxy.pac) o proxy transparente en la interfase OpenVPN.
-
Saludos, acabo de darme cuenta que en los equipos linux, si me conecto a una web interna http://mail.dominio.com si puedo entrar pero si entra a https://mi.dominio.net no accede y me muestra un mensaje del hosting que la pagina no existe pero si vuelvo a intentar por su ip si llega a conectar, que podria estar pasando? pues en equipos windows y mac no presenta este problema, las pruebas se hicieron con el mismo usuario.
-
Eso es un problema de resolución DNS. Seguramente los parámetros de red en los equipos es distinto.
ipconfig /all en Windows
nm-tool en Linux
para ver qué DNS emplean los equipos.
-
Gracias por la respuesta, mira el equipo real es linux y en virtual es un windows 7 estoy en una red externa a la de la empresa
-
En el Linux, el DNS es pfSense, 172.16.1.1
En el Windows no queda claro. Parece estar dentro del dominio startlabs.net
Haz, en el Windows:
nslookup www.google.com
para ver qué IP te resuelve eso.
-
Aqui te envio los resultados, cabe mencionar que en la configuracion del server de openvpn habilte el dns a 192.168.127.1 y el DNS Default Domain a startlabs.net, tambien es en las maquinas con windows en donde puedo acceder sin problemas
C:\Users\Soporte Tecnico>nslookup www.google.com
Server: fw.startlabs.net
Address: 192.168.127.1Non-authoritative answer:
Name: www.google.com
Addresses: 2607:f8b0:400c:c03::67
74.125.131.104
74.125.131.105
74.125.131.106
74.125.131.147
74.125.131.99
74.125.131.103 -
Ahí lo tienes, el DNS para el Windows es:
Server: fw.startlabs.net Address: 192.168.127.1El equipo Linux debería tomar el mismo, entiendo.
Debes imponerlo como DNS en la configuración de DHCP para LAN. De esta forma, al tomar la IP tomará también el DNS.
Uno de mis alumnos vino un día a decirme que su compañía telefónica le había dicho que no conectaba a la WiFi de su casa porque tenía un equipo con Linux y que era incompatible. Le pregunté (a mi alumno) si en casa tenían otro ordenador con Windows que funcionara o teléfonos móviles con Android u otro. Negativo. Al final resultó que tenía una Play Station 3. Y le dije, llama de nuevo a la compañía y diles que tu PS3 no conecta a la WiFi. Obviamente la WiFi no iba y tuvieron que reconfigurarle el equipo ADSL para que funcionara. A partir de ahí su portátil Linux Ubuntu 12.04 LTS también conectó a la WiFi.
Moraleja. Cualquier sistema operativo no conocido es visto como un sistema que no funciona bien.Perdona, pero no pude resistir la tentación de explicarlo… ;)
-
jeejejej perfecto me parece muy buena la moraleja voy a hacer lo que me dices. Gracias.
-
Ya lo probé y no funciono, pero me he dado cuenta que en otro equipo linux en el cual he instalado el network-openvpn-gnome y desde ahi selecciono el archivo de configuración y aparecen automaticamente todos los datos y solo coloco el usuario y password y se conecta al ver el archivo resolv.conf veo que se agrega la linea search y aparece startlabs.net lo cual me permite acceder con normalidad.
En el equipo que presenta problemas no puedo conectarme por el icono, accedo desde el terminal ejecutando openvpn –config vpn-udp-usuario.ovpn pero al ver el mismo archivo este no cambia, lo raro es que antes no tenía problemas
-
En el equipo que presenta problemas no puedo conectarme por el icono, accedo desde el terminal ejecutando openvpn –config vpn-udp-usuario.ovpn pero al ver el mismo archivo este no cambia, lo raro es que antes no tenía problemas
Bueno, si haces algo fuera de gnome (del entorno gráfico que tengas) es normal que se comporte distinto.
Uf, creo que te lo dije mal. Es en la configuración del servidor OpenVPN donde tienes que imponer el DNS.
DNS Servers Provide a DNS server list to clients -
Perfecto, haré ese cambio y por otra parte con respecto al filtrar la navegación web de los clientes roadwarrior con un proxy, yo tengo un firewall perimetral con proxy y reglas estalecidas para los usuarios de la red, como podría hacer para que los usuarios del roadwarrior pasen por este proxy transparente
O lo mejor seria establecer otro proxy transparente para los usuarios roadwarrior.
-
Cada servidor OpenVPN emplea una interfase tun.
Ve a asignación de interfases y actívala, sin más datos. Cambia sólo la descripción OPTx, si te interesa.
Con esto tendrás visible la interfase en todo el cortafuegos. Por ejemplo, la verás en Rules (además de la pestaña OpenVPN).
También te aparecerá pues en la configuración de squid y esto te permitirá activar squid en modo transparente en dicha interfase.
No lo he probado, pero tendría que ir.
Todo esto claro, pensando que optaste por tener un squid transparente en el propio pfSense.
Si no es así, tendrías que NO permitir la navegación "directa" a los usuarios y obligarles a usar proxy en el navegador.
-
Uf, creo que te lo dije mal. Es en la configuración del servidor OpenVPN donde tienes que imponer el DNS.
Code: [Select]
DNS Servers
Provide a DNS server list to clientscon respecto a esta esta opción ya la tengo habilitada con check y el ip 192.168.127.1
-
Es evidente que algo no va bien…
Además, ahora veo que el comando nm-tool NO visualiza los datos de la interfase tun0.
¿Qué distro usas? En mi Ubuntu 12.04 LTS:
$ cat /var/log/syslog | grep dnsy obtengo algo así:
dnsmasq[1166]: using nameserver 192.168.XXX.YYY#53 for domain XXX.168.192.in-addr.arpa dnsmasq[1166]: using nameserver 192.168.XXX.YYY#53 for domain mydomain.tld dnsmasq[1166]: using nameserver 80.58.61.AAA#53 dnsmasq[1166]: using nameserver 80.58.61.BBB#53Ubuntu emplea dnsmasq en la propia máquina y network-manager-openvpn añade los DNS para lo que está al otro lado del túnel VPN, la red 192.168.XXX.0/24 y el dominio mydomain.tld. Los otros dos DNS son los de mi ISP.
cat /var/log/syslog | grep NetworkManagerpermite ver también la asignación del DNS:
NetworkManager[996]: <info> Internal IP4 DNS: 192.168.XXX.YYY NetworkManager[996]: <info> DNS Domain: 'mydomain.tld'</info></info> -
Gracias por la respuesta la version que he hecho pruebas es en Linux Mint 16 MATE y otra con la Linux Mint Debian, y al ir a VPN Connections – Configure VPN -- Add -- Import a save VPN configuration pero veo que no creo ninguna conexion; ahora cuando voy a VPN Connecttios -- Configure VPN -- Add -- OpenVPN escojo el certificado pero se cuelga toda la ventana.
Probe con otra distro como Linux Pear y conecte sin problemas or lo que al parecer es un problema con la distribuciòn aun asi muchas gracias por tu apoyo ahora voy a probar el tema del proxy.