SquidGuard i OpenVPN - filtrowanie otwieranych stron

maci4

Witam serdecznie
Czy jest taka możliwość aby wszyscy klienci połączeni z siecią lokalną poprzez OpenVPN mieli filtrowanie poprzez SquidGuarda? muszę to wykonać dla 9 lokalizacji w których średnio jest po 5 komputerów. Bardzo proszę chociaż o konkretne hasła pod którymi mógłbym szukać w Googlach, lub np linki do manuali. Sedze już nad tym tydzień.

Vlodek

Witam,

za bardzo nie rozumiem, może torchę jaśniej ?

5 komputerów = 1 lokalizacja –--->openVPN pfsense---->wan----->Internet ?
5 komputerów = 2 lokalizacja ------>openVPN pfsense ---->wan ---->Internet?

Czy o to chodzi ?

Pozdrawiam
WKali

maci4

5 komputerów = 1 lokalizacja (filia) –--> brama filii (router z zewnetrznym IP, brak obsługi vpn) -----> Internet (tylko aby połączyć się do centrali) ----> openVPN pfsense (Centrala)---->wan (squid, blokowanie portów) -----> Internet

Vlodek

Witam,

czy dobrze rozumiem ?

tak jak na obrazku?

Pozdrawiam
WKali


maci4

Każdy komputer ma zainstalowanego openvpn-a.
Nie rozumiem o co chodzi z tym początkiem.
Serwer openvpn i squid są na tym samym serwerze co router - pfsense w centrali.
Chce aby komputery z filii łączyły się z siecią w centrali, mogły przeglądać otoczenie sieciowe sieci centrali i miały filtrowane połączenia internetowe tak jakby były w LANie itp.
Na mój rozum to wyglądałoby to tak: udostępniam na każdym ovpn połączenia tylko z zewnetrznym adresem IP routera w centrali aby nawiazać połączenie vpn. Od tej pory każde żądanie wyświetlenia strony będzie wysyłane poprzez vpn do routera centrali i on wypuszczał je na świat - to tak samo jak jest teraz z komputerami w centrali - są podpięte "kablami" przez switcha do routera.

Z góry dziękuje za pomoc :)

Vlodek

Witam,

OK - teraz już jest jaśniej  ;)

Początek OpenVPN=każdy komputer ma OpenVPN (pytałem, bo można zrobić openvpn site to site).

A czy  komputery z filii łaczą się z centralą i przeglądają otoczenie sieciowe ?
Mamy ten krok zrobiony ?

Pozdrawiam
WKali

maci4

Co do otoczenia sieciowego to jeszcze nie wiem ponieważ produkcyjnie pracuje jeszcze na ClearOS (zbyt ubogi), ale chce  przenieść się na pfSense (na chwile obecną mam go na osobnym serwerze - aby był produkcyjny wystarczy że zmienie mu końcówkę zenwętrznego IP i podepnę go pod switcha sieci lokalnej) - lepszy firewall, więcej modułów itp… Ogólnie to ja łączę się ze swojego kompa poprzez ovpn bez problemu i po wpisaniu IP routera z sieci lokalnej do przeglądarki uruchamia się strona do zarządzania nim. Site-to-site nie wchodzi w grę bo routery (bramki) na każdej filii nie wspierają VPN-a, a dodatkowo chce aby z każdej filii po 2 komputery łączyły się do mojej drugiej sieci - ale to wystarczy skopiować jeden działający serwer ovpn i zmienić porty etc... więc chce się skupić na razie na jednej sieci.
Konfiguracja servera ovpn

writepid /var/run/openvpn_server0.pid
#user nobody
#group nobody
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
dev tun
proto udp
cipher BF-CBC
up /etc/rc.filter_configure
down /etc/rc.filter_configure
server 10.10.3.0 255.255.255.0
client-config-dir /var/etc/openvpn_csc
push "route 10.0.3.0 255.255.255.0"
lport 1194
push "dhcp-option DNS 10.0.3.1"
ca /var/etc/openvpn_server0.ca
cert /var/etc/openvpn_server0.cert
key /var/etc/openvpn_server0.key
dh /var/etc/openvpn_server0.dh
comp-lzo
push "route 10.0.3.0 255.255.255.0"

Konfiguracja Clienta:

float
port 1194
dev tun
dev-node ovpn
proto udp
remote IP_ZEWNETRZNE_ROUTERA 1194
ping 10
persist-tun
persist-key
tls-client
ca ca.crt
cert dom.crt
key dom.key
ns-cert-type server
comp-lzo
pull
verb 4
push "dhcp-option DNS 10.0.3.1";push "dhcp-option WINS 10.0.3.1"

Vlodek

Witam,

klient musi "jakoś" wiedzieć jak się dostać do internetu przez ustawiony tunel ovpn.

Przygotowałem podobną instalację i mam ten sam rezultat - dostaję się do sieci LAN i tylko tyle.

C.D.N.  :D

Pozdrawiam
WKali

maci4

właśnie kurcze to jest największy problem przekierować ruch pakietów na główny router w centrali. W weekend postaram się przestudiować dokumentacje openvpn-a może czegoś sie dowiem. Myślałem, że Ty mi pomożesz, a okazało się, że zatrzymałeś się w tym samym punkcie ;)

Vlodek

Witaj,

poszedłem trochę dalej, ale u mnie nie zadziałało ;-)

znalazłem:
push "redirect-gateway def1"
po stronie serwera w OpenVPN wpisać w pole "custom options".
UWAGA!!! na końcu def jest 1 (jeden) a nie "L"
powoduje, że cały ruch z klienta ovpn jest wpuszczany w tunel !

Znalazłem:
filtering and NAT for OpenVPN - należy zrobić tak:

w System->Advanced zakliknąć Disable Auto-added VPN rules

potem w Interfaces (assign)
dodać OPT1 port tun0

po dodaniu OPT1 ustawić dla niego Enable Optional 1 interface

type-> static

bridge none i w adresie IP też wpisać none (nie określać adresu IP)

dzięki temu możemy budować regułki firewall dla interface OPT1 (czyli z tunelu ovpn).

Teraz NAT:
wybrać Firewall ->NAT->Outbound
zakliknąć Manual i save

Powstanie na dole automatyczny NAT dla WAN, ale tu już możemy budować NAT dla OPT1.

To tyle.
Tylko, że u mnie nie zadziałało.

Po tych zabiegach nawet nie mogłem się dobić do LAN - dlatego przygotuj sobie wejście do zarządzania przez www od strony WAN.

W weekend nie mam czasu nad tym posiedzieć inne priorytety ;-)

Może coś Ci wyjdzie ;-)

Pozdrawiam
WKali
poczytaj: co prawda tam jest o site-to-site
http://forum.pfsense.org/index.php/topic,6056.0.html
i to
http://forum.pfsense.org/index.php/topic,7001.0.html