Lan pptp clients to squid
-
Всем добрый день. Поставил squid на порт 3128 и ClamAV ему родительским прокси на 3125. Прокси прозрачный. Есть необходимость раздавать интернет также через vpn-подключение. Включил во вкладке VPN сервис pptp, указал серверу серый адрес 192.168.192.1, и диапазон для клиентов на 20 штук с 192.168.192.2. Пользователя завел для pptp. Но не могу догнать как прописать правила на разрешение подключений из локальной сети и на Nat, чтобы весь трафик натился на squid.
Нашел в нете как это делается через консоль:
#iptables rules for vpn
iptables -A INPUT -p gre -i eth1 -j ACCEPT
iptables -A INPUT -m tcp -p tcp -i eth1 –dport 1723 -j ACCEPT
#redirect traffic to proxy
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp -i ppp1 --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp -i ppp2 --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.192.0/24 -j MASQUERADEiptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A INPUT -p tcp -i eth0 --dport 80 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -i eth0 --dport 1723 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -i eth0 --dport 113 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p tcp -i eth0 --dport 3128 -j REJECT --reject-with tcp-resetКак тоже самое сделать через веб-консоль?
-
Прилагаю 3 скриншота с настройками firewall. По ним - соединение из локальной сети проходит, пользователь авторизуется, ему выдается серый ip. Но nat не работает, в интернет доступа нет.
-
1. Удаляйте правила на LAN и PPTP - оставьте по одному на каждом интерфейсе - разрешено всё всем и по всем протоколам (временно)
2. Удаляйте правило Port forwarding-a
3. В настройках Proxy - > Allow subnets укажите адрес сети Ваших pptp-клиентов.И всегда включайте логирование, чтобы понять где проблема.
-
Поставил squid на порт 3128 и ClamAV ему родительским прокси на 3125. Прокси прозрачный. Есть необходимость раздавать интернет также через vpn-подключение.
Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.
http://www.thin.kiev.ua/router-os/50-pfsense/668-pptp-squid-squidguard-pfsense-20.html -
3. В настройках Proxy - > Allow subnets укажите адрес сети Ваших pptp-клиентов.
Да я указал. Но сквид может висеть на: lan, wan и loopback. Сейчас он висит на lan интерфейсе с ip естественно не совпадающим с сеткой pptp клиентов, и как они без Nat и redirect увидят сквид? Тут для этого маскарад и затевается: что у клиентов pptp шлюзом и днс-сервером будет адрес который я указал в настройках pptp-сервера 192.168.192.1. И с него надо сNatить все что на него приходит на 80 и 8080 порт на сквид…
Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.
Тогда будет трафик идти в обход сквида, мне нужно как раз наоборот.
-
Вы сперва разберитесь, что такое NAT и что такое Proxy:
http://www.differencebetween.com/difference-between-nat-and-vs-proxy/
What is the difference between NAT and Proxy?
NAT modifies IP address in a header of an IP packet, while it is travelling through a routing device and allows to use a different set of IP addresses for traffic within a LAN than the set of IP addresses for outside traffic, while a proxy is a server that is located between a client and some other server and acts as a mediator. NAT does not need any special application software to operate, whereas applications behind a proxy server must support proxy services and should be configured to use the proxy server.
Не нужен Вам никакой NAT для проксификации соединений.
-
Я знаком с теорией про Nat и proxy.
Может быть я неправильно изъясняюсь, но меня интересует вот такой же случай:
http://www.linuxquestions.org/questions/linux-networking-3/iptables-routing-vpn-users-through-transparent-squid-827642/
или тут тоже самое
http://serverfault.com/questions/173232/iptables-routing-vpn-users-through-transparent-squid
Хочу пустить http трафик через сквид, чтобы его видеть в статистике и ограничивания правилами сквида. -
Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.
Тогда будет трафик идти в обход сквида, мне нужно как раз наоборот.
Я предложил вам проверить варианты изложенные в статье:
1й Вариант - Попробуйте PPTP Ip диапазон из LAN
2й Вариант - подсеть пропишите в Bypass proxyВ свое время я обошелся вариантом 1.
-
@ Desantnik74
И NAT в авторежим переведите пока что, если "крутили-вертели" его до этого. И Reset states сделать не забудьте. -
Спасибо за соучастие в моих поисках :) Времени не было экспериментировать пока - обязательно отпишусь какие успехи будут.
-
В общем сделал в Firewall Rules временные правила для интерфейсов Lan и PPTP VPN разрешить все всем, по всем портам в любых направлениях.
В нате указал для интерфейса pptp протоколы tcp\udp порты 53-443 натить на 3128 на самого себя ( ипишник сервера в lan)
В squid прописывал обе сетки (и диапазаон Lan и pptp) в Allowed subnets и в Unrestricted IPs - никакого результата. Подключение по pptp есть - интернета в нем нет))
Сеть pptp клиентов прописывал такую же как в lan - правда не знаю какой адрес указывать было в Server address и PPTP DNS Servers. Так как адрес pfsense в локалке нельзя тут указывать - забил вместо него другой свободный.
Может быть можно как-нибудь из ssh-клиента посмотреть в терминале вывод iptables которые сейчас действуют? -
Клиенты PPTP - все на Win ? И внешние ли они или внутренние ?
P.s. Прочтите свои ЛС, пож-та.
-
Нашел работающую конфигурацию. У меня несколько сеток класса С в локалке, потому чтобы не путать никого обозначил их просто Lan1 и Lan2.
PPTP Lan - любая серая сеть, у меня 192.168.5.0/24. Вот скрины:
-
@ Desantnik74
Объясните, пож-та, скрины №1 и №2 (сверху-вниз).
P.s. Клиенты PPTP - внешние или внутренние ? Так и не услышал ответа.
-
клиенты внутренние. нужно было предоставить доступ в интернет из локальной сети через vpn.
lan.jpg - разрешить подключение к серверу из 2 диапазонов локальной сети (lan1 и lan2)
nat.jpg - натить трафик подключившихся vpn-пользователей (80-443 порт) на squid.
сейчас думаю как разрешить доступ по openvpn из интернета в локальную сеть… -
клиенты внутренние. нужно было предоставить доступ в интернет из локальной сети через vpn.
Дожал вас werter!
В таком раскладе, PPTP настраивается так http://www.thin.kiev.ua/router-os/50-pfsense/595-pptpserver.html -
@ Desantnik74
Не обижайтесь, но скрины 1 и 2 - полный бред :
скрин 1 - зачем явно разрешать доступ с лан-адресов к лан-адресу пф по портам с 53 по 3128 ?!
скрин 2 - вообще тихий ужас :-[ Вы пробрасываете для внутреннего (!!!) pptp на внешний адрес пф порты с 80 по 443 да еще и при этом на адрес localhost ?!Удаляйте эти "чуда-правила" . Оставляйте только настройки squid.
P.s. Кстати, а в каком у вас режиме работает squid ? "Прозрачный" или нет? Я так и не понял.
-
Спасибо werter за активную помощь в решении проблемы ;) !
Мое решение (как в скринах) подходит только для моих условий, поэтому не рекомендую это нигде повторять на трезвую голову :)