OpenVPN Client -> External VPN Service provider



  • Добрый день!
    Вопрос состоит в следующем: Как корректно подключить шлюз для локальной сети pfsense к внешнему сервису предоставляющему доступ к закрытым сайтам (vpnbook.com) по VPN каналу (OpenVPN)
    Что сделал на шлюзе:
    1. экспортировал с сайта *.ovpn файл (в нем также присутсвуют данные сертификатов ca,  cert, key-privat)
    2.  Импорт сертификатов:
        2.1 В разделе System-Certificate Manager-CAs создал ca-сертификат и скопировал из файла п.1 данный са,
        2.2 В разделе System-Certificate Manager-Certificates создал сертификат клиента и скопировал из файла п.1 данные cert, key-privat
    3. создал OpenVPN Client  указал настройки из файла *.ovpn
    –----------------
    client
    dev tun0
    proto udp
    remote 176.126.237.214 53
    remote euro214.vpnbook.com 53
    resolv-retry infinite

    nobind
    persist-key
    persist-tun
    auth-user-pass
    comp-lzo
    verb 3
    cipher AES-128-CBC

    fast-io
    pull
    route-delay 2
    redirect-gateway
    –---------------------
    в меню создания клиента openvpn
    http://my-files.ru/vtncda
    http://my-files.ru/c3l0iz

    Клиент вроде бы подключается судя по логу:
    May 17 11:41:20 openvpn 34862 Initialization Sequence Completed
    May 17 11:41:20 openvpn 34862 /usr/local/sbin/ovpn-linkup ovpnc2 1500 1558 10.8.0.106 10.8.0.105 init
    May 17 11:41:20 openvpn 34862 /sbin/ifconfig ovpnc2 10.8.0.106 10.8.0.105 mtu 1500 netmask 255.255.255.255 up
    May 17 11:41:20 openvpn 34862 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    May 17 11:41:20 openvpn 34862 TUN/TAP device /dev/tun2 opened
    May 17 11:41:20 openvpn 34862 TUN/TAP device ovpnc2 exists previously, keep at program end
    May 17 11:41:18 openvpn 34862 [vpnbook.com] Peer Connection Initiated with [AF_INET]176.126.237.214:53
    May 17 11:41:17 openvpn 34862 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
    May 17 11:41:16 openvpn 34862 UDPv4 link remote: [AF_INET]176.126.237.214:53
    May 17 11:41:16 openvpn 34862 UDPv4 link local (bound): [AF_INET]WAN1_IP_Public
    May 17 11:41:16 openvpn 34862 Initializing OpenSSL support for engine 'cryptodev'
    May 17 11:41:16 openvpn 34862 NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
    May 17 11:41:16 openvpn 34862 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    May 17 11:41:16 openvpn 34618 WARNING: file '/var/etc/openvpn/client2.up' is group or others accessible
    May 17 11:41:16 openvpn 34618 library versions: OpenSSL 1.0.1s-freebsd 1 Mar 2016, LZO 2.09
    May 17 11:41:16 openvpn 34618 OpenVPN 2.3.9 amd64-portbld-freebsd10.3 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Apr 6 2016
    –----------------
    Но на компьютерах в LAN пропадает интернет (multi WAN)
    работа в LAN идет через прокси
    Понимаю, что нужно как-то перенаправить созданные VPN канал в локалку, но не соображу как...



  • Проделывал подобное несколько лет назад с другим провайдером OVPN. Пишу по памяти.
    Если туннель поднялся:
    1. Объявить OVPN интерфейсом
    2. В Outbound Nat - переключить в Manual или Hybrid, добавить NAT для OVPN
    3. На LAN создать\отредактировать правило с указанием OVPN шлюза.

    Если грубо - настраивать по аналогии:
    https://forum.pfsense.org/index.php?topic=76015.0
    https://www.privateinternetaccess.com/forum/discussion/18111/openvpn-step-by-step-setup-for-pfsense-firewall-router-with-video



  • Спасибо огромное. буду тестить!

    P.S: Спасибо по инструкции сделал, соединение успешно, только есть 1 проблема, которую обойти не могу, подскажите.
    проблема заключается в том, что при создании подключения от сервера приходит команда redirect-gateway, которая перенаправляет весь трафик интернет в тунель.
    Можно ли как-то блокировать эту команду на стороне клиента, чтобы можно было выбирать Alias'ами нужные IP и пускать их в этот тунель?

    P.S №2: Для тех, кто будет настраивать по вышеприведенной инструкции есть ньюанс: конкретно в этом провайдере еще применяется сертификат клиента + секретный ключ, который нужно указать в в пункте Client Certificate (как его создать описал в стартовом посте п.2.2) в настройках клиента, а не самоподписаный сертификат как в инструкции выше и в pfSense 2.3 появилось в GUI OpenVPN Client окна отвечающие за ввод логин/пароль, поэтому не нужно указывать их в Advenced



  • уже к данному провайдеру vpn не подключусь - его в список распространителей ботов занесли.
    https://www.spamhaus.org/query/ip/176.126.237.214
    эх, а такую хорошую скорость давал
    может кто знает еще какие-нибудь надежные сервера?…
    но до того как забанили, удалось выяснить
    что при подключении к впн-провайдеру приходит как раз директива --redirect-gateway def1 которая как раз и сообщает клиенту что не удалять путь по умолчанию.
    у меня выше есть правило определенным ip из локалки через шлюз vpn выпускать на определенные сайты, а ниже правило заворачивать все на прокси
    http://my-files.ru/ou30s1
    но если ходить не через прокси, то все ходит через mymultiwan, а если в броузере прописать прокси - то через тунель, даже если ip компа нет в списке VPN_IPs (из компов которым это разрешено)
    не могу это обьяснить, как такое возможно...если у кого-то есть какие-то мнения по этому поводу...



  • –redirect-gateway def1 которая как раз и сообщает клиенту что не удалять путь по умолчанию.
    Насколько я понимаю, redirect-gateway def1 как раз подменяет шлюз по умолчанию.

    Squid проблематично работает с мультиван.
    Как заставить его поступать иначе - не знаю, не использую.

    может кто знает еще какие-нибудь надежные сервера?
    Бесплатные рекомендовать нет смысла - сегодня они работают, завтра - нет.
    Из платных:
    Русскоязычный https://hidemy.name/ru/
    Из популярных англоязычных
    https://www.privateinternetaccess.com/
    https://www.hidemyass.com/
    …множество других.



  • т.е получается, что
    1. те компьютеры которые ходят через прокси и шлюзом указан мултиван - всеравно ходят в тунель впн
    2. те компьютеры которые не ходят через прокси и указан мултиван - ходят мимо тунеля
    3. правило стоящее выше всех и указывающее определенным ip ходить через впн тунель - не нужно т.к п.1

    если это не моя ошибка, то это ведь баг pfsense...



  • Сквид, насколько я знаю,  умеет работать только с default gateway. По крайней мере - в новых версиях pfSense.
    Как и можно ли это победить - вам, возможно, подскажут.
    Я сквид не использую и ничего сказать не могу.
    Без сквида направление любого IP из LAN через любой шлюз работает.



  • Если  кто-то также столкнулся с проблемой заворачивания всего интернет канала в тунель впн на клиенте (т.е сервером впн присылается команда "redirect-gateway def1"). нашел статью с 2 вариантами обхода.
    https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway



  • Пусть меня поправят, но именно redirect-gateway def1 в вашем случае обеспечивает "наличие интернета" на OPVN-интерфейсе.
    Вопрос теперь у меня - обойдя заворачивания всего интернет канала через запрет redirect-gateway def1 вы не потерли собственно доступ в интернет через туннель?



  • так в этом и смысл, если я в правилах фаервола пишу явно шлюзом впн-шлюз, тогда я могу выпустить определенные ip через этот тунель, а остальные через тунель по умолчанию (т.е мультиван). Если же принудительно присылают, как клиенту впн, команду redirect gateway def1, то затирается маршрут по умолчанию со шлюзом мультиван.

    pigbrother:
    "Пусть меня поправят, но именно redirect-gateway def1 в вашем случае обеспечивает "наличие интернета" на OPVN-интерфейсе.
    Вопрос теперь у меня - обойдя заворачивания всего интернет канала через запрет redirect-gateway def1 вы не потерли собственно доступ в интернет через туннель? "

    • Будет. Я настраивал впн-сервер на pfsense и подключаюсь клиентом, так вот в настройках сервера есть галочка - "Redirect Gateway" Force all client generated traffic through the tunnel.
      как раз и отвечающая за подмену шлюза по умолчанию на клиенте .
      Я ее не ставлю и клиенты впн ходят по своему интернету домашнему, а если нужнасетка впн-сервера то спокойно видят клиенты за ним.

    Если кому нужны бесплатные впн-сервера, есть ресурс
    http://www.vpngate.net/en/
    там и uptime их написан и скорость, и др.инфа



  • Доброе.
    Немного добавлю.

    а если нужнасетка впн-сервера то спокойно видят клиенты за ним.

    Если нужна впн-сетка клиентам и вы "рулите" впн-сервером :
    1. Можно пУшить маршрут клиентам на впн-сервере - push "route …" (или в веб-фейсе как сейчас реализовано указать Local networks)
    2. В особых случаях, можно не пУшить сервером, а руками в конфиге каждого клиента добавить route до нужной клиенту сети за впн-сервером.



  • @werter:

    Доброе.
    Немного добавлю.

    а если нужнасетка впн-сервера то спокойно видят клиенты за ним.

    Если нужна впн-сетка клиентам и вы "рулите" впн-сервером :
    1. Можно пУшить маршрут клиентам на впн-сервере - push "route …" (или в веб-фейсе как сейчас реализовано указать Local networks)
    2. В особых случаях, можно не пУшить сервером, а руками в конфиге каждого клиента добавить route до нужной клиенту сети за впн-сервером.

    мой личный впн-сервер работает - вопросов нет.  Начальный вопрос поста был не в этом.
    Повторюсь, как pfsensu с настроеным клиентом впн подключится к внешнему впн-провайдеру (он успешно подключается), но при этом провайдер присылает команду заворачивания всего моего интернета в свой впн-канал вышеуказаной командой, а мне нужно, чтобы шлюз по умолчанию на клиенте (у меня) оставался мультиван, а правилами фаервола уже конкретно каждому ip заворачивать в впн-тунель. как-то так..



  • Будет. Я настраивал впн-сервер на pfsense и подключаюсь клиентом, так вот в настройках сервера есть галочка - "Redirect Gateway" Force all client generated traffic through the tunnel.
    Именно. Redirect Gateway" Force all client generated traffic through the tunnel" как раз и передает клиентам вашего сервера директиву redirect-gateway def1, и они начинают ходить в инет через ваш pfSense.

    Ваш же случай - pfSense выступает клиентом и redirect-gateway добавляет этому клиенту (этому интерфейсу OVPN) шлюз в интернет. Без  redirect-gateway клиент получит адрес из сети удаленного OVPN-сервера но не получит шлюза в 0.0.0.0, без которого доступ в интернет невозможен.
    Именно redirect-gateway def1 создает для вас еще один как-бы WAN. Почему как-бы? Потому, что он создается поверх уже имеющегося WAN.
    Повторю. Использовалось на версии до 2.2 Я не использовал сквид. И правилами на LAN можно было выпускать любые IP\Алиасы IP через любой имеющийся в pfSense шлюз (группу мультиван, шлюзы, входящие в мультиван по отдельности, шлюз OVPN клиента) на выбор, создав на LAN нужные правила и расставив их в определенном порядке.



  • в настроеном мной pfsense servere эта галочка НЕ СТОИТ. Клиенты подключаются к нему и т.о им доступны ресурсы сети за шлюзом pfSense, а на домашних устройствах они испоьзуют своих провайдеров и ходят через них. Стоило бы мне на моем сервере поставить эту галку, так на стороне клиента это выглядело бы как если бы раздавал ему инет а не их домашний провайдер. то, что вы говорите - я кажется понимаю, без этой директивы я как клиент впн буду как бы частью сети во главе с впн сервером, но интернет от него я не получу т.к он не является шлюзом по умолчанию у меня на клиенте.

    тогда какже это реализовать…

    Я сейчас проделал следующее подключился клиентом к внешнему провайдеру vpn

    • весь трафик завернуло в впн, т.к пришла директива от сервера впн

    • потом я применил на клиенте (https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway)
      route 0.0.0.0 192.0.0.0 net_gateway
      route 64.0.0.0 192.0.0.0 net_gateway
      route 128.0.0.0 192.0.0.0 net_gateway
      route 192.0.0.0 192.0.0.0 net_gateway
      маршрут поумолчанию изменился на моего провайдера (НЕ ТУНЕЛЬ)
      тунель впн в состоянии подключен

    • потом добавил в маршрут диапазон ip сайтов доступ к которым я хочу получить по каналу впн с явным указанием шлюза openvpn
        tracert ом проверяю - идет в канал впн, но сайт заблокирова всеравно

    на этом пока застопорился

    я еще попробую без сквида, если все-таки можно будет выбирать элиасы, тогда это уже косяк сквида а не пфсенса...



  • в настроеном мной pfsense servere эта галочка НЕ СТОИТ. Клиенты подключаются к нему и т.о им доступны ресурсы сети за шлюзом pfSense, а на домашних устройствах они испоьзуют своих провайдеров и ходят через них. Стоило бы мне на моем сервере поставить эту галку, так на стороне клиента это выглядело бы как если бы раздавал ему инет а не их домашний провайдер. то, что вы говорите - я кажется понимаю, без этой директивы я как клиент впн буду как бы частью сети во главе с впн сервером, но интернет от него я не получу т.к он не является шлюзом по умолчанию у меня на клиенте.

    Все верно.

    - потом я применил на клиенте (https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway)
    С этим дела не имел и не подскажу ничего.

    я еще попробую без сквида, если все-таки можно будет выбирать элиасы, тогда это уже косяк сквида а не пфсенса.
    Да, AFAIK, это особенность сквида - использовать исключительно системный default gateway. Как это обойти в актуальных версиях pfSense вроде были посты, но, повторю, я от темы сквида далек.



  • Доброе.

    tracert ом проверяю - идет в канал впн, но сайт заблокирова всеравно

    Конечно. У вас же обращение к dns идет не через vpn. У вашего пров-ра блокировка через dns реализована.
    Раздайте по dhcp те же 8.8.8.8, 8.8.4.4 своим локальным клиентам в кач-ве dns. И заверните трафик к 8.8.8.8, 8.8.4.4 через ваш туннель. Или же сделайте так, чтобы сам пф обращался к dns-серверам только через туннель. И на клиентах неплохо бы сделать ipconfig /flushdns после этого.

    P.s. Купите в Европе самый дешевый VPS за 5-10$ в мес. Разверните debian\centos minimal. И прикрутите это - http://pritunl.com/ (https://github.com/pritunl/pritunl , демка - http://demo.pritunl.com/), https://techknight.eu/2016/05/15/deploy-pritunl-ubuntu/
    Дел - на 15 минут. Все рулится через веб-фейс. И вы сам себе хозяин.

    P.s2. Признайтесь, в ОК и ВК пытаетесь попасть ?  ;)

    P.s3. Написал и подумал. А ведь это же готовый бизнес-план  8)



  • Кстати, по поводу DNS и OVPN.
    Если в Client Specific Overrides или настройках самого сервера задать DNS Servers, и передать клиенту через
    push "block-outside-dns"; или явно указать block-outside-dns в конфиге клиента, то есть все имеющиеся в системе DNS будут игнорироваться, а использоваться только те, что передаются через OVPN.
    Это работает, проверял, по крайней мере, для клиентов Windows 8.1, и наверное, более новых.
    Клиент в логе пишет:
    Sun May 21 18:56:03 2017 Blocking outside dns using service succeeded.
    Возможно это можно реализовать и когда pfSense  сам является клиентом OVPN.

    P.s. Купите в Европе самый дешевый VPS за 5-10$ в мес. Разверните debian\centos minimal. И прикрутите это - http://pritunl.com/ (https://github.com/pritunl/pritunl , демка - http://demo.pritunl.com/), https://techknight.eu/2016/05/15/deploy-pritunl-ubuntu/
    Дел - на 15 минут. Все рулится через веб-фейс. И вы сам себе хозяин.

    Проблема ТС, как я понял не только и не столько в выборе поставщика VPN, а недружбе сквида с многочисленными шлюзами.



  • Доброе.
    Спасибо за block-outside-dns

    server.conf

    push "dhcp-option DNS x.x.x.x"  # Push your preferred VPN DNS - google eg. 8.8.8.8
    push "block-outside-dns"        # Block access to any other DNS

    Otherwise, you can simply add block-outside-dns to your Windows 10 client config files.

    P.s. По сквиду попробовать в Services -> Proxy server -> General -> Custom Options добавить tcp_outgoing_address 127.0.0.1;



  • я все-таки не хочу прыгать с одной системы на другу и останусь на pfsense.
    Насчет DNS провайдера я не подумал, спасибо за наводку (хотя это первое о чем надо было подумать)
    Думаю если в General Setup указать внешний днс с привязкой к openvpn шлюзу, то если не ошибаюсь на клиентах ничего не потребуется менять…
    раздать клиентам гулевские днс не получится, у них днс - контролер домена, это вызовет проблемы как участников домена.
    да и весь трафик тогда пойдет с откликом от гуглевских, а не провайдеровского днс с 2 мс.
    Но идея понятна - для тунеля не использовать днс провайдера
    может быть в сетевом интерфейсе впн указать явно днс гугла?

    werter
    по сквиду попробую то, что вы говорите. видел подобное предложение в разделе по мультивану, у меня в правилах к сквиду просто указано стандартное правило со шлюзом мультиван

    P.S: проверил на windows 7 клиенте openvpn.
    добавил маршрут к нужным сайтам через впн шлюз
    указал гуглевские днс.
    теперь у меня скорость всех сайтов от провайдера, а на нужные ходит по узкому каналу впн.

    завтра попробую на pfsense

    Отдельное спасибо за терпение и помощь werter и pigbrother. Может быть мой опыт поиска решения будет кому-то полезен ;-)



  • я все-таки не хочу прыгать с одной системы на другу и останусь на pfsense.

    Совет ув. Werter Купить в Европе самый дешевый VPS касается не смены платформы, а организации собственного удаленного сервера с поднятым на нем OpenVPN.



  • Отчет об экспериментах:
    1. в General Setup оставил только внешние DNS (например 8.8.8.8, 8.8.4.4)
    т.к провайдер сделал переопределение имя-ip и трасировка проходит по маршруту к его внутреннему адресу
    2. Создал правило для тестовых сайтов через шлюз vpn для определенных lan_ip
    3.  настроил подключение впн клиента по конфигу из *.ovpn
    но отключил две опции

    • Don't pull routes
    • Don't add/remove routes
      –----
      В итоге соединение происходит, шлюз не переназначается на впн, а остается мультиван, и на все сайты кроме указаных ходит через провайдера, а к тестовым сайтам через впн тунель (добавил тестовый компьютер в группу, которая ходит напрямую в инет минуя прокси)

    Что смущает:
    1. в логах после установления успешного соединения повторяется строки
    May 23 14:24:01 openvpn 37012 MANAGEMENT: Client disconnected
    May 23 14:24:01 openvpn 37012 MANAGEMENT: CMD 'status 2'
    May 23 14:24:01 openvpn 37012 MANAGEMENT: CMD 'state 1'
    May 23 14:24:01 openvpn 37012 MANAGEMENT: Client connected from /var/etc/openvpn/client2.sock
    May 23 14:15:52 openvpn 37012 MANAGEMENT: Client disconnected
    May 23 14:15:52 openvpn 37012 MANAGEMENT: CMD 'status 2'
    May 23 14:15:52 openvpn 37012 MANAGEMENT: CMD 'state 1'
    May 23 14:15:52 openvpn 37012 MANAGEMENT: Client connected from /var/etc/openvpn/client2.sock

    • возможно это неважно и указывает на то, что я не дал шлюзу впн передать мне маршруты и свой шлюз впн

    2. если же явно в броузерах на компьютерах указывать "ходить через прокси" и  правило прокси и ниже вышеуказаного исключения для сайтов, то всеравно тестовые сайты не открываются. Это главная проблема на которой застопорился



  • Доброе.
    Что за правило прокси? Скрины.



  • вот скрин локальнойго интерфейса
    и правило для впн с Sites_Test вверху
    https://ru.files.fm/u/2g99qy3r#_



  • Предпоследнее правило. Что за LAN2 net в dest  ?

    Просьба. Цепляйте картинки здесь же.



  • по диапазону LAN2 = InternetWorkstation = 192.168.1.0/24
    предпоследнее правило это заворот на прокси всего исходящего трафика (или я  не правильно сделал? у меня этот конфиг идет еще с pfsense 2.0 ничего не меняю, только дополняю).

    P.S: мне стыдно, но я не могу понять как это сделать с картинками
    вижу тэги ![vpn6.png](, вижу Attach (выбираю файл) не вижу загрузки
    <br>
    <br>
    <img class=) " />



  • предпоследнее правило это заворот на прокси всего исходящего трафика (или я  не правильно сделал? у меня этот конфиг идет еще с pfsense 2.0 ничего не меняю, только дополняю).

    У вас прозрачный\transparent прокси ?



  • нет, прокси с авторизацией из локальной базы прокси



  • Тогда зачем вы пытаетесь завернуть трафик на прокси ?
    Если он непрозрачный, то явно указывайте его адрес и порт на клиентах (или автоматом раздаете wpad-файл с настройками прокси).



  • Сейчас все браузеры и программы берут настройки не с настроек сетевой карты ПК, а из IE:

    • Если в IE прописаны proxy: ip:port + login-pass тогда тотже Crome, Opera берет настройки с него и ходит через прокси, при установленном впн соединении - выполняется правило предпоследнее и почти весь трафик идет через прокси, но при этом правило с тестовыми сайтами через впн игнорируется и сайты не открываются в этих браузерах.
    • Если в IE не прописаны proxy: ip:port + login-pass тогда тотже Crome, Opera берет настройки с него и перебирает по очереди до первого совпадения все правила выше прокси и срабатывает на тестовых сайтах через впн, открывая их успешно, но все остальные сайты не открывает, т.к не знает из своих настроек ничего об адресе прокси

    Обычно я так и использую - в IE ничего не прописано и все приложения типа скайпа, вайбера ходят в обход прокси по правилам фаервола, а для серфинга пользуемся FF, где
    прописан прокси и сайты успешно открываются.

    Но вот в данном случае это не работает: в IE (ничего не прописано), в FF(прописан прокси) и получается, что IE открывает только тестовый набор сайтов, а FF - все остальные за исключением тестового набора.

    Как же это совместить в одном браузере? какие правила подправить.
    если я выключаю правило заворота на прокси, то сайты вообще не грузятся, даже если указать в настройках браузера прокси…



  • Вдогонку:
    [How to] pfSense Selective Routing via VPN and WAN Interfaces
    https://forum.pfsense.org/index.php?topic=105810.0



  • Кстати, по поводу DNS и OVPN.
    Если в Client Specific Overrides или настройках самого сервера задать DNS Servers, и передать клиенту через
    push "block-outside-dns"; или явно указать block-outside-dns в конфиге клиента, то есть все имеющиеся в системе DNS будут игнорироваться, а использоваться только те, что передаются через OVPN.
    Это работает, проверял, по крайней мере, для клиентов Windows 8.1, и наверное, более новых.

    Добавлю. Block Outside DNS есть как опция в Client Export Utility.
    И хотя там написано, что:
    Requires Windows 10 and OpenVPN 2.3.9 or later
    Это работает и в (начиная с?) Windows 7, по крайней мере с версией клиента 2.4.0-Ix01.



  • 2 pigbrother
    Спасибо (особое) и за последн. ссылку и за объяснения )

    2 dvv06
    А что если в настр. squid исключить доступ к сайтам (предварит. создать alias) , к-ые должны быть доступны напрямую минуя squid ? Т.е. указать их в исключениях squid в dest ?
    После же воспользоваться последн. ссылками, что дал ув. pigbrother. чтобы завернуть (пометив трафик в правиле fw на LAN и создав правило c reject во floating rules ) доступ к блок. сайтам и dns только через vpn.

    Вроде реализуемо.



  • pigbrother
    отличная статья, буду пробовать, только насколько я понял из комментариев (поправьте меня если не прав):

    1. НЕ НУЖНО убирать правила в nat для впн шлюза (из предыдущей статьи по настройке впн клиента)
    2. добавить правило в лан для впн шлюза (в моем случае оно уже есть для Test_sites) и указать маркировать его "NO_WAN_EGRESS"
    3. добавть в floating rule правило для WAN1 + WAN2
    
    Action: Reject
    Quick: Checked
    Interface: WAN (you can also select multiple WAN interfaces or an interface group here)
    Direction: out
    Protocol: any
    Source: any
    Destination: any
    Description: Reject outbound traffic marked NO_WAN_EGRESS
    Advanced: You can match packet on a mark placed before on another rule: NO_WAN_EGRESS
    
    

    werter
    если осилю ваш замысел отпишусь :-)
    "squid в dest" насколько я понимаю это конфиг надо править или это делается через GUI squid?

    P.S: по переопределению всех DNS на внешние (только так работает обход перенаправления у провайдера почему-то возникла проблема с одной программой, которая отказывалась работать с любыми внешними днс, но как только добавил один из провайдерских, боагополучно заработала. но это как исключение, возможно позже что-то с этим придумаю, например в локальном днс укажу ip-имя к тем сайтам куда она обращается



  • сделал как описал на пост выше по маркировке пакетов идущих через впн к тестовым сайтам п.1-3.
    ситуация таже:

    • если в IE не указывать прокси - то он открывает сайты ТОЛЬКО из тестового элиаса, другие - нет.
    • если в IE уазать прокси - то он открывает все сайты, кроме тестового элиаса.

    Вышел из этой ситуации следующим образом:
    В FF, IE указал - ходить через прокси и в пункте "Не использовать прокси для указаных сетей" добавил свой тестовый набор.
    понимаю что это не централизовано и "костыль"…

    Вопрос: нужны ли были эти float rulle если и без них оно работало также

    Предложение werter насколько я вычитал относится к пункту "Bypass proxy for these destination IPs", а он доступен в прозрачном прокси, у меня же не прозрачный прокси. какой аналог этого пункта здесь - пока не нашел…

    P.S: По поводу отдельных программ, которые не хотят работать с публичными днс - все оказалось просто, я использовал нортоновские и гуглевские, нортоновские быстрее поэтому они первыми успевают ответить на запрос имени, а в их базе эти конкретные сайты проходят как вредоносные. достаточно указать другой днс и все заработало

    Впринципе "костылем" проблема доступа решена, жаль, что не получилось это централизовано сделать на проксе.
    Выражаю благодарность werter и pigbrother!!! Без вас ребята я бы не додумался до такого :-))))



  • Поздравляю.
    Плюс за то, что не сдались и довели дело до конца.