OpenVPN Client -> External VPN Service provider

werter

предпоследнее правило это заворот на прокси всего исходящего трафика (или я  не правильно сделал? у меня этот конфиг идет еще с pfsense 2.0 ничего не меняю, только дополняю).

У вас прозрачный\transparent прокси ?

dvv06

нет, прокси с авторизацией из локальной базы прокси

werter

Тогда зачем вы пытаетесь завернуть трафик на прокси ?
Если он непрозрачный, то явно указывайте его адрес и порт на клиентах (или автоматом раздаете wpad-файл с настройками прокси).

dvv06

Сейчас все браузеры и программы берут настройки не с настроек сетевой карты ПК, а из IE:

• Если в IE прописаны proxy: ip:port + login-pass тогда тотже Crome, Opera берет настройки с него и ходит через прокси, при установленном впн соединении - выполняется правило предпоследнее и почти весь трафик идет через прокси, но при этом правило с тестовыми сайтами через впн игнорируется и сайты не открываются в этих браузерах.
• Если в IE не прописаны proxy: ip:port + login-pass тогда тотже Crome, Opera берет настройки с него и перебирает по очереди до первого совпадения все правила выше прокси и срабатывает на тестовых сайтах через впн, открывая их успешно, но все остальные сайты не открывает, т.к не знает из своих настроек ничего об адресе прокси

Обычно я так и использую - в IE ничего не прописано и все приложения типа скайпа, вайбера ходят в обход прокси по правилам фаервола, а для серфинга пользуемся FF, где
прописан прокси и сайты успешно открываются.

Но вот в данном случае это не работает: в IE (ничего не прописано), в FF(прописан прокси) и получается, что IE открывает только тестовый набор сайтов, а FF - все остальные за исключением тестового набора.

Как же это совместить в одном браузере? какие правила подправить.
если я выключаю правило заворота на прокси, то сайты вообще не грузятся, даже если указать в настройках браузера прокси…

pigbrother

Вдогонку:
[How to] pfSense Selective Routing via VPN and WAN Interfaces
https://forum.pfsense.org/index.php?topic=105810.0

pigbrother

Кстати, по поводу DNS и OVPN.
Если в Client Specific Overrides или настройках самого сервера задать DNS Servers, и передать клиенту через
push "block-outside-dns"; или явно указать block-outside-dns в конфиге клиента, то есть все имеющиеся в системе DNS будут игнорироваться, а использоваться только те, что передаются через OVPN.
Это работает, проверял, по крайней мере, для клиентов Windows 8.1, и наверное, более новых.

Добавлю. Block Outside DNS есть как опция в Client Export Utility.
И хотя там написано, что:
Requires Windows 10 and OpenVPN 2.3.9 or later
Это работает и в (начиная с?) Windows 7, по крайней мере с версией клиента 2.4.0-Ix01.

werter

2 pigbrother
Спасибо (особое) и за последн. ссылку и за объяснения )

2 dvv06
А что если в настр. squid исключить доступ к сайтам (предварит. создать alias) , к-ые должны быть доступны напрямую минуя squid ? Т.е. указать их в исключениях squid в dest ?
После же воспользоваться последн. ссылками, что дал ув. pigbrother. чтобы завернуть (пометив трафик в правиле fw на LAN и создав правило c reject во floating rules ) доступ к блок. сайтам и dns только через vpn.

Вроде реализуемо.

dvv06

pigbrother
отличная статья, буду пробовать, только насколько я понял из комментариев (поправьте меня если не прав):

1. НЕ НУЖНО убирать правила в nat для впн шлюза (из предыдущей статьи по настройке впн клиента)
2. добавить правило в лан для впн шлюза (в моем случае оно уже есть для Test_sites) и указать маркировать его "NO_WAN_EGRESS"
3. добавть в floating rule правило для WAN1 + WAN2

Action: Reject
Quick: Checked
Interface: WAN (you can also select multiple WAN interfaces or an interface group here)
Direction: out
Protocol: any
Source: any
Destination: any
Description: Reject outbound traffic marked NO_WAN_EGRESS
Advanced: You can match packet on a mark placed before on another rule: NO_WAN_EGRESS

werter
если осилю ваш замысел отпишусь :-)
"squid в dest" насколько я понимаю это конфиг надо править или это делается через GUI squid?

P.S: по переопределению всех DNS на внешние (только так работает обход перенаправления у провайдера почему-то возникла проблема с одной программой, которая отказывалась работать с любыми внешними днс, но как только добавил один из провайдерских, боагополучно заработала. но это как исключение, возможно позже что-то с этим придумаю, например в локальном днс укажу ip-имя к тем сайтам куда она обращается

dvv06

сделал как описал на пост выше по маркировке пакетов идущих через впн к тестовым сайтам п.1-3.
ситуация таже:

• если в IE не указывать прокси - то он открывает сайты ТОЛЬКО из тестового элиаса, другие - нет.
• если в IE уазать прокси - то он открывает все сайты, кроме тестового элиаса.

Вышел из этой ситуации следующим образом:
В FF, IE указал - ходить через прокси и в пункте "Не использовать прокси для указаных сетей" добавил свой тестовый набор.
понимаю что это не централизовано и "костыль"…

Вопрос: нужны ли были эти float rulle если и без них оно работало также

Предложение werter насколько я вычитал относится к пункту "Bypass proxy for these destination IPs", а он доступен в прозрачном прокси, у меня же не прозрачный прокси. какой аналог этого пункта здесь - пока не нашел…

P.S: По поводу отдельных программ, которые не хотят работать с публичными днс - все оказалось просто, я использовал нортоновские и гуглевские, нортоновские быстрее поэтому они первыми успевают ответить на запрос имени, а в их базе эти конкретные сайты проходят как вредоносные. достаточно указать другой днс и все заработало

Впринципе "костылем" проблема доступа решена, жаль, что не получилось это централизовано сделать на проксе.
Выражаю благодарность werter и pigbrother!!! Без вас ребята я бы не додумался до такого :-))))

pigbrother

Поздравляю.
Плюс за то, что не сдались и довели дело до конца.