SquidGuard i OpenVPN - filtrowanie otwieranych stron



  • Witam serdecznie
    Czy jest taka możliwość aby wszyscy klienci połączeni z siecią lokalną poprzez OpenVPN mieli filtrowanie poprzez SquidGuarda? muszę to wykonać dla 9 lokalizacji w których średnio jest po 5 komputerów. Bardzo proszę chociaż o konkretne hasła pod którymi mógłbym szukać w Googlach, lub np linki do manuali. Sedze już nad tym tydzień.



  • Witam,

    za bardzo nie rozumiem, może torchę jaśniej ?

    5 komputerów = 1 lokalizacja –--->openVPN pfsense---->wan----->Internet ?
    5 komputerów = 2 lokalizacja ------>openVPN pfsense ---->wan ---->Internet?

    Czy o to chodzi ?

    Pozdrawiam
    WKali



  • 5 komputerów = 1 lokalizacja (filia) –--> brama filii (router z zewnetrznym IP, brak obsługi vpn) -----> Internet (tylko aby połączyć się do centrali) ----> openVPN pfsense (Centrala)---->wan (squid, blokowanie portów) -----> Internet



  • Witam,

    czy dobrze rozumiem ?

    tak jak na obrazku?

    Pozdrawiam
    WKali

    ![pfsense forum openvpn.png](/public/imported_attachments/1/pfsense forum openvpn.png)
    ![pfsense forum openvpn.png_thumb](/public/imported_attachments/1/pfsense forum openvpn.png_thumb)



  • Każdy komputer ma zainstalowanego openvpn-a.
    Nie rozumiem o co chodzi z tym początkiem.
    Serwer openvpn i squid są na tym samym serwerze co router - pfsense w centrali.
    Chce aby komputery z filii łączyły się z siecią w centrali, mogły przeglądać otoczenie sieciowe sieci centrali i miały filtrowane połączenia internetowe tak jakby były w LANie itp.
    Na mój rozum to wyglądałoby to tak: udostępniam na każdym ovpn połączenia tylko z zewnetrznym adresem IP routera w centrali aby nawiazać połączenie vpn. Od tej pory każde żądanie wyświetlenia strony będzie wysyłane poprzez vpn do routera centrali i on wypuszczał je na świat - to tak samo jak jest teraz z komputerami w centrali - są podpięte "kablami" przez switcha do routera.

    Z góry dziękuje za pomoc :)



  • Witam,

    OK - teraz już jest jaśniej  ;)

    Początek OpenVPN=każdy komputer ma OpenVPN (pytałem, bo można zrobić openvpn site to site).

    A czy  komputery z filii łaczą się z centralą i przeglądają otoczenie sieciowe ?
    Mamy ten krok zrobiony ?

    Pozdrawiam
    WKali



  • Co do otoczenia sieciowego to jeszcze nie wiem ponieważ produkcyjnie pracuje jeszcze na ClearOS (zbyt ubogi), ale chce  przenieść się na pfSense (na chwile obecną mam go na osobnym serwerze - aby był produkcyjny wystarczy że zmienie mu końcówkę zenwętrznego IP i podepnę go pod switcha sieci lokalnej) - lepszy firewall, więcej modułów itp… Ogólnie to ja łączę się ze swojego kompa poprzez ovpn bez problemu i po wpisaniu IP routera z sieci lokalnej do przeglądarki uruchamia się strona do zarządzania nim. Site-to-site nie wchodzi w grę bo routery (bramki) na każdej filii nie wspierają VPN-a, a dodatkowo chce aby z każdej filii po 2 komputery łączyły się do mojej drugiej sieci - ale to wystarczy skopiować jeden działający serwer ovpn i zmienić porty etc... więc chce się skupić na razie na jednej sieci.
    Konfiguracja servera ovpn

    
    writepid /var/run/openvpn_server0.pid
    #user nobody
    #group nobody
    daemon
    keepalive 10 60
    ping-timer-rem
    persist-tun
    persist-key
    dev tun
    proto udp
    cipher BF-CBC
    up /etc/rc.filter_configure
    down /etc/rc.filter_configure
    server 10.10.3.0 255.255.255.0
    client-config-dir /var/etc/openvpn_csc
    push "route 10.0.3.0 255.255.255.0"
    lport 1194
    push "dhcp-option DNS 10.0.3.1"
    ca /var/etc/openvpn_server0.ca
    cert /var/etc/openvpn_server0.cert
    key /var/etc/openvpn_server0.key
    dh /var/etc/openvpn_server0.dh
    comp-lzo
    push "route 10.0.3.0 255.255.255.0"
    
    

    Konfiguracja Clienta:

    
    float
    port 1194
    dev tun
    dev-node ovpn
    proto udp
    remote IP_ZEWNETRZNE_ROUTERA 1194
    ping 10
    persist-tun
    persist-key
    tls-client
    ca ca.crt
    cert dom.crt
    key dom.key
    ns-cert-type server
    comp-lzo
    pull
    verb 4
    push "dhcp-option DNS 10.0.3.1";push "dhcp-option WINS 10.0.3.1"
    


  • Witam,

    klient musi "jakoś" wiedzieć jak się dostać do internetu przez ustawiony tunel ovpn.

    Przygotowałem podobną instalację i mam ten sam rezultat - dostaję się do sieci LAN i tylko tyle.

    C.D.N.  :D

    Pozdrawiam
    WKali



  • właśnie kurcze to jest największy problem przekierować ruch pakietów na główny router w centrali. W weekend postaram się przestudiować dokumentacje openvpn-a może czegoś sie dowiem. Myślałem, że Ty mi pomożesz, a okazało się, że zatrzymałeś się w tym samym punkcie ;)



  • Witaj,

    poszedłem trochę dalej, ale u mnie nie zadziałało ;-)

    znalazłem:
    push "redirect-gateway def1"
    po stronie serwera w OpenVPN wpisać w pole "custom options".
    UWAGA!!! na końcu def jest 1 (jeden) a nie "L"
    powoduje, że cały ruch z klienta ovpn jest wpuszczany w tunel !

    Znalazłem:
    filtering and NAT for OpenVPN - należy zrobić tak:

    w System->Advanced zakliknąć Disable Auto-added VPN rules

    potem w Interfaces (assign)
    dodać OPT1 port tun0

    po dodaniu OPT1 ustawić dla niego Enable Optional 1 interface

    type-> static

    bridge none i w adresie IP też wpisać none (nie określać adresu IP)

    dzięki temu możemy budować regułki firewall dla interface OPT1 (czyli z tunelu ovpn).

    Teraz NAT:
    wybrać Firewall ->NAT->Outbound
    zakliknąć Manual i save

    Powstanie na dole automatyczny NAT dla WAN, ale tu już możemy budować NAT dla OPT1.

    To tyle.
    Tylko, że u mnie nie zadziałało.

    Po tych zabiegach nawet nie mogłem się dobić do LAN - dlatego przygotuj sobie wejście do zarządzania przez www od strony WAN.

    W weekend nie mam czasu nad tym posiedzieć inne priorytety ;-)

    Może coś Ci wyjdzie ;-)

    Pozdrawiam
    WKali
    poczytaj: co prawda tam jest o site-to-site
    http://forum.pfsense.org/index.php/topic,6056.0.html
    i to
    http://forum.pfsense.org/index.php/topic,7001.0.html


Log in to reply