Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Пустить интернет трафик клиентов OpenVpn через Squi

    Scheduled Pinned Locked Moved Russian
    10 Posts 3 Posters 985 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Komito
      last edited by

      Здравствуйте!
      Есть pFsense-сервер. На сервере Wan-интерфейс (пусть 62.62.62.62), Lan-интерфейс 10.1.1.10, на нем же поднят Squid(прозрачный) со стандартным портом. Так же поднят OpenVpn с интерфейсом(Opt1) 192.168.100.1. Ip-адреса клиентам я раздаю статические через ifconfig-push из диапазона 192.168.100.0/24. Шлюз по умолчанию на сервере 10.1.1.1. Внутренние пользователи ходят в инет через Squid без проблем. Задача стоит завернуть весь трафик OpenVpn клиента в туннель с доступом в интернет через Squid.
      Трафик пользователя я заворачиваю в туннель без проблем, через настройки OpenVpn сервера. А вот с настройкой доступа в интернет через Squid проблемы. Пробовал через nat/port forward настраивать проброс http трафика на Squid, не работает. В правилах файервола доступ из openvpn подсети к подсети Squid'а разрешил. Все равно интернета нет. Подскажите, пожалуйста, в какую сторону копать?

      1 Reply Last reply Reply Quote 0
      • K
        Komito
        last edited by

        У клиентов не должен быть прописан прокси. Клиент, к примеру, подключается к OpenVpn c собственного смартфона и в момент подключения интернет должен идти через мой Squid.  В остальных случаях интернет должен работать клиентский.

        1 Reply Last reply Reply Quote 0
        • R
          Rarog
          last edited by

          В настройках сквида укажите Proxy Interface(s) , Transparent Proxy Interface(s) на интерфейс OPT 1, работает?

          1 Reply Last reply Reply Quote 0
          • K
            Komito
            last edited by

            Нет, не заработало. В логах squid'а пусто. Попробовал прописать прокси в браузере, тоже инета нет. Добавление клиента в Acl лист сквида тоже не дало результатов. Правило firewall для доступа к сквиду настроено.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Добрый.
              Завернуть весь трафик клиентов в туннель.
              Разрешить сеть клиентов 192.168.100.0/24 в настройках сквида

              Так же поднят OpenVpn с интерфейсом(Opt1) 192.168.100.1

              Удалить явно созданный впн-интерфейс. Попробовать сперва без него.

              1 Reply Last reply Reply Quote 0
              • K
                Komito
                last edited by

                Здравствуйте!
                Удалил явно созданный OpenVpn интерфейс. Завернуль весь трафик клиентов в туннель (Force all client-generated IPv4 traffic through the tunnel). В настройках сквида в ACLs в Allowed Subnets прописал подсеть впн клиентов (192.168.100.0.24). Не помогло. Интернета нет. В логах сквида только локальные пользователи. В настройках сквида Proxy Interface настройен на Lan и Loopback.

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Есть pFsense-сервер. На сервере Wan-интерфейс (пусть 62.62.62.62), Lan-интерфейс 10.1.1.10 …  Шлюз по умолчанию на сервере 10.1.1.1.

                  ?

                  В настройках сквида в ACLs в Allowed Subnets прописал подсеть впн клиентов (192.168.100.0**.24**)

                  192.168.100.0**/24**

                  1 Reply Last reply Reply Quote 0
                  • K
                    Komito
                    last edited by

                    Allowed Subnets конечно 192.168.100.0/24 прописал. Опечатался.
                    Насчет шлюза, созданы два шлюза. Один на 10.1.1.1, другой на Wan интерфейсе. Дефолтным является шлюз на Wan интерфейсе. И да, обратил внимание что клиент OpenVpn не получает шлюз. ДНСы внутренние получает, а адрес шлюза пустой.

                    1 Reply Last reply Reply Quote 0
                    • K
                      Komito
                      last edited by

                      Инет появляется если прописать адрес прокси в браузере OpenVpn клиента. По умолчанию инет так и не работает.
                      Так же не резолвятся внутренние адреса сети. Есть внутренний DNS поднятый на контроллере домена. В system/general setup прописад адрес dns серверов. Поставил галочки  DNS Query Forwarding/
                      Enable Forwarding Mode и Enable DNS forwarder. В правилах firewal'а в OpenVpn прописал разрешение на 53 порт к этим серверам. В логах firewal'а  обращения к этим серверам с клиента проходят, а имена не резолвятся.

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Добрый.
                        @Komito:

                        Насчет шлюза, созданы два шлюза. Один на 10.1.1.1, другой на Wan интерфейсе. Дефолтным является шлюз на Wan

                        Зачем два шлюза?
                        Нарисуйте схему сети, пож-та

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.