Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SquidGuard i OpenVPN - filtrowanie otwieranych stron

    Scheduled Pinned Locked Moved Polish
    10 Posts 2 Posters 9.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      maci4
      last edited by

      Witam serdecznie
      Czy jest taka możliwość aby wszyscy klienci połączeni z siecią lokalną poprzez OpenVPN mieli filtrowanie poprzez SquidGuarda? muszę to wykonać dla 9 lokalizacji w których średnio jest po 5 komputerów. Bardzo proszę chociaż o konkretne hasła pod którymi mógłbym szukać w Googlach, lub np linki do manuali. Sedze już nad tym tydzień.

      1 Reply Last reply Reply Quote 0
      • V
        Vlodek
        last edited by

        Witam,

        za bardzo nie rozumiem, może torchę jaśniej ?

        5 komputerów = 1 lokalizacja –--->openVPN pfsense---->wan----->Internet ?
        5 komputerów = 2 lokalizacja ------>openVPN pfsense ---->wan ---->Internet?

        Czy o to chodzi ?

        Pozdrawiam
        WKali

        1 Reply Last reply Reply Quote 0
        • M
          maci4
          last edited by

          5 komputerów = 1 lokalizacja (filia) –--> brama filii (router z zewnetrznym IP, brak obsługi vpn) -----> Internet (tylko aby połączyć się do centrali) ----> openVPN pfsense (Centrala)---->wan (squid, blokowanie portów) -----> Internet

          1 Reply Last reply Reply Quote 0
          • V
            Vlodek
            last edited by

            Witam,

            czy dobrze rozumiem ?

            tak jak na obrazku?

            Pozdrawiam
            WKali

            ![pfsense forum openvpn.png](/public/imported_attachments/1/pfsense forum openvpn.png)
            ![pfsense forum openvpn.png_thumb](/public/imported_attachments/1/pfsense forum openvpn.png_thumb)

            1 Reply Last reply Reply Quote 0
            • M
              maci4
              last edited by

              Każdy komputer ma zainstalowanego openvpn-a.
              Nie rozumiem o co chodzi z tym początkiem.
              Serwer openvpn i squid są na tym samym serwerze co router - pfsense w centrali.
              Chce aby komputery z filii łączyły się z siecią w centrali, mogły przeglądać otoczenie sieciowe sieci centrali i miały filtrowane połączenia internetowe tak jakby były w LANie itp.
              Na mój rozum to wyglądałoby to tak: udostępniam na każdym ovpn połączenia tylko z zewnetrznym adresem IP routera w centrali aby nawiazać połączenie vpn. Od tej pory każde żądanie wyświetlenia strony będzie wysyłane poprzez vpn do routera centrali i on wypuszczał je na świat - to tak samo jak jest teraz z komputerami w centrali - są podpięte "kablami" przez switcha do routera.

              Z góry dziękuje za pomoc :)

              1 Reply Last reply Reply Quote 0
              • V
                Vlodek
                last edited by

                Witam,

                OK - teraz już jest jaśniej  ;)

                Początek OpenVPN=każdy komputer ma OpenVPN (pytałem, bo można zrobić openvpn site to site).

                A czy  komputery z filii łaczą się z centralą i przeglądają otoczenie sieciowe ?
                Mamy ten krok zrobiony ?

                Pozdrawiam
                WKali

                1 Reply Last reply Reply Quote 0
                • M
                  maci4
                  last edited by

                  Co do otoczenia sieciowego to jeszcze nie wiem ponieważ produkcyjnie pracuje jeszcze na ClearOS (zbyt ubogi), ale chce  przenieść się na pfSense (na chwile obecną mam go na osobnym serwerze - aby był produkcyjny wystarczy że zmienie mu końcówkę zenwętrznego IP i podepnę go pod switcha sieci lokalnej) - lepszy firewall, więcej modułów itp… Ogólnie to ja łączę się ze swojego kompa poprzez ovpn bez problemu i po wpisaniu IP routera z sieci lokalnej do przeglądarki uruchamia się strona do zarządzania nim. Site-to-site nie wchodzi w grę bo routery (bramki) na każdej filii nie wspierają VPN-a, a dodatkowo chce aby z każdej filii po 2 komputery łączyły się do mojej drugiej sieci - ale to wystarczy skopiować jeden działający serwer ovpn i zmienić porty etc... więc chce się skupić na razie na jednej sieci.
                  Konfiguracja servera ovpn

                  
                  writepid /var/run/openvpn_server0.pid
                  #user nobody
                  #group nobody
                  daemon
                  keepalive 10 60
                  ping-timer-rem
                  persist-tun
                  persist-key
                  dev tun
                  proto udp
                  cipher BF-CBC
                  up /etc/rc.filter_configure
                  down /etc/rc.filter_configure
                  server 10.10.3.0 255.255.255.0
                  client-config-dir /var/etc/openvpn_csc
                  push "route 10.0.3.0 255.255.255.0"
                  lport 1194
                  push "dhcp-option DNS 10.0.3.1"
                  ca /var/etc/openvpn_server0.ca
                  cert /var/etc/openvpn_server0.cert
                  key /var/etc/openvpn_server0.key
                  dh /var/etc/openvpn_server0.dh
                  comp-lzo
                  push "route 10.0.3.0 255.255.255.0"
                  
                  

                  Konfiguracja Clienta:

                  
                  float
                  port 1194
                  dev tun
                  dev-node ovpn
                  proto udp
                  remote IP_ZEWNETRZNE_ROUTERA 1194
                  ping 10
                  persist-tun
                  persist-key
                  tls-client
                  ca ca.crt
                  cert dom.crt
                  key dom.key
                  ns-cert-type server
                  comp-lzo
                  pull
                  verb 4
                  push "dhcp-option DNS 10.0.3.1";push "dhcp-option WINS 10.0.3.1"
                  
                  1 Reply Last reply Reply Quote 0
                  • V
                    Vlodek
                    last edited by

                    Witam,

                    klient musi "jakoś" wiedzieć jak się dostać do internetu przez ustawiony tunel ovpn.

                    Przygotowałem podobną instalację i mam ten sam rezultat - dostaję się do sieci LAN i tylko tyle.

                    C.D.N.  :D

                    Pozdrawiam
                    WKali

                    1 Reply Last reply Reply Quote 0
                    • M
                      maci4
                      last edited by

                      właśnie kurcze to jest największy problem przekierować ruch pakietów na główny router w centrali. W weekend postaram się przestudiować dokumentacje openvpn-a może czegoś sie dowiem. Myślałem, że Ty mi pomożesz, a okazało się, że zatrzymałeś się w tym samym punkcie ;)

                      1 Reply Last reply Reply Quote 0
                      • V
                        Vlodek
                        last edited by

                        Witaj,

                        poszedłem trochę dalej, ale u mnie nie zadziałało ;-)

                        znalazłem:
                        push "redirect-gateway def1"
                        po stronie serwera w OpenVPN wpisać w pole "custom options".
                        UWAGA!!! na końcu def jest 1 (jeden) a nie "L"
                        powoduje, że cały ruch z klienta ovpn jest wpuszczany w tunel !

                        Znalazłem:
                        filtering and NAT for OpenVPN - należy zrobić tak:

                        w System->Advanced zakliknąć Disable Auto-added VPN rules

                        potem w Interfaces (assign)
                        dodać OPT1 port tun0

                        po dodaniu OPT1 ustawić dla niego Enable Optional 1 interface

                        type-> static

                        bridge none i w adresie IP też wpisać none (nie określać adresu IP)

                        dzięki temu możemy budować regułki firewall dla interface OPT1 (czyli z tunelu ovpn).

                        Teraz NAT:
                        wybrać Firewall ->NAT->Outbound
                        zakliknąć Manual i save

                        Powstanie na dole automatyczny NAT dla WAN, ale tu już możemy budować NAT dla OPT1.

                        To tyle.
                        Tylko, że u mnie nie zadziałało.

                        Po tych zabiegach nawet nie mogłem się dobić do LAN - dlatego przygotuj sobie wejście do zarządzania przez www od strony WAN.

                        W weekend nie mam czasu nad tym posiedzieć inne priorytety ;-)

                        Może coś Ci wyjdzie ;-)

                        Pozdrawiam
                        WKali
                        poczytaj: co prawda tam jest o site-to-site
                        http://forum.pfsense.org/index.php/topic,6056.0.html
                        i to
                        http://forum.pfsense.org/index.php/topic,7001.0.html

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.