Пустить интернет трафик клиентов OpenVpn через Squi



  • Здравствуйте!
    Есть pFsense-сервер. На сервере Wan-интерфейс (пусть 62.62.62.62), Lan-интерфейс 10.1.1.10, на нем же поднят Squid(прозрачный) со стандартным портом. Так же поднят OpenVpn с интерфейсом(Opt1) 192.168.100.1. Ip-адреса клиентам я раздаю статические через ifconfig-push из диапазона 192.168.100.0/24. Шлюз по умолчанию на сервере 10.1.1.1. Внутренние пользователи ходят в инет через Squid без проблем. Задача стоит завернуть весь трафик OpenVpn клиента в туннель с доступом в интернет через Squid.
    Трафик пользователя я заворачиваю в туннель без проблем, через настройки OpenVpn сервера. А вот с настройкой доступа в интернет через Squid проблемы. Пробовал через nat/port forward настраивать проброс http трафика на Squid, не работает. В правилах файервола доступ из openvpn подсети к подсети Squid'а разрешил. Все равно интернета нет. Подскажите, пожалуйста, в какую сторону копать?



  • У клиентов не должен быть прописан прокси. Клиент, к примеру, подключается к OpenVpn c собственного смартфона и в момент подключения интернет должен идти через мой Squid.  В остальных случаях интернет должен работать клиентский.



  • В настройках сквида укажите Proxy Interface(s) , Transparent Proxy Interface(s) на интерфейс OPT 1, работает?



  • Нет, не заработало. В логах squid'а пусто. Попробовал прописать прокси в браузере, тоже инета нет. Добавление клиента в Acl лист сквида тоже не дало результатов. Правило firewall для доступа к сквиду настроено.



  • Добрый.
    Завернуть весь трафик клиентов в туннель.
    Разрешить сеть клиентов 192.168.100.0/24 в настройках сквида

    Так же поднят OpenVpn с интерфейсом(Opt1) 192.168.100.1

    Удалить явно созданный впн-интерфейс. Попробовать сперва без него.



  • Здравствуйте!
    Удалил явно созданный OpenVpn интерфейс. Завернуль весь трафик клиентов в туннель (Force all client-generated IPv4 traffic through the tunnel). В настройках сквида в ACLs в Allowed Subnets прописал подсеть впн клиентов (192.168.100.0.24). Не помогло. Интернета нет. В логах сквида только локальные пользователи. В настройках сквида Proxy Interface настройен на Lan и Loopback.



  • Есть pFsense-сервер. На сервере Wan-интерфейс (пусть 62.62.62.62), Lan-интерфейс 10.1.1.10 …  Шлюз по умолчанию на сервере 10.1.1.1.

    ?

    В настройках сквида в ACLs в Allowed Subnets прописал подсеть впн клиентов (192.168.100.0**.24**)

    192.168.100.0**/24**



  • Allowed Subnets конечно 192.168.100.0/24 прописал. Опечатался.
    Насчет шлюза, созданы два шлюза. Один на 10.1.1.1, другой на Wan интерфейсе. Дефолтным является шлюз на Wan интерфейсе. И да, обратил внимание что клиент OpenVpn не получает шлюз. ДНСы внутренние получает, а адрес шлюза пустой.



  • Инет появляется если прописать адрес прокси в браузере OpenVpn клиента. По умолчанию инет так и не работает.
    Так же не резолвятся внутренние адреса сети. Есть внутренний DNS поднятый на контроллере домена. В system/general setup прописад адрес dns серверов. Поставил галочки  DNS Query Forwarding/
    Enable Forwarding Mode и Enable DNS forwarder. В правилах firewal'а в OpenVpn прописал разрешение на 53 порт к этим серверам. В логах firewal'а  обращения к этим серверам с клиента проходят, а имена не резолвятся.



  • Добрый.
    @Komito:

    Насчет шлюза, созданы два шлюза. Один на 10.1.1.1, другой на Wan интерфейсе. Дефолтным является шлюз на Wan

    Зачем два шлюза?
    Нарисуйте схему сети, пож-та