После установке squid на pfsense пользователи pptp не ра



  • У меня есть несколько пользователей PPTP, и они могут войти к VPN, просто отлично, и доступ к сетевым ресурсам и тому подобное. Дело в том, что я установил squid и включил прозрачный прокси для фильтрации определенных сайтов в сети, но я получаю доступ запрещен страницы при просмотре в интернете при подключении через pptp.
    Помогите пожалуйста решить эту проблему?



  • @jas1100:

    У меня есть несколько пользователей PPTP, и они могут войти к VPN, просто отлично, и доступ к сетевым ресурсам и тому подобное. Дело в том, что я установил squid и включил прозрачный прокси для фильтрации определенных сайтов в сети, но я получаю доступ запрещен страницы при просмотре в интернете при подключении через pptp.
    Помогите пожалуйста решить эту проблему?

    Вы пптп-клиентам хотите дать доступ к Инету через их впн-подключение к вам ? Тогда рисуйте правила в fw. Если же им нужны только ваши локальные ресурсы при поднятие впн-сессии, то уберите в настройках подключения у клиентов использование туннеля как шлюза по умолчанию.



  • @werter:

    Тогда рисуйте правила в fw.

    Может покажете уже нарисованные? :-)



  • @jas1100:

    Дело в том, что я установил squid и включил прозрачный прокси для фильтрации определенных сайтов в сети, но я получаю доступ запрещен страницы при просмотре в интернете при подключении через pptp.

    Если ошибка как на рисунке ниже:

    Укажите в настройках PPTP сервера диапазон LAN.
    К примеру:
    LAN 192.168.0.1/24
    DHCP 192.168.0.100-254
    PPTPD 192.168.0.50








  • @jas1100:

    СПАСИБО БОЛЬШОЕ!!!!!!!!!!!

    Третий вариант не допилен, фильтр перестает работать при таких настройках. Я по началу и не заметил. :-(



  • Может в Proxy server: Access control : Allowed subnets добавить pptp-сеть?



  • @werter:

    Может в Proxy server: Access control : Allowed subnets добавить pptp-сеть?

    Ага, я тоже так думал.




  • @dr.gopher:

    @werter:

    Может в Proxy server: Access control : Allowed subnets добавить pptp-сеть?

    Ага, я тоже так думал.

    Он вам про совсем другое пишет :) Читайте внимательнее.



  • @werter:

    Он вам про совсем другое пишет :) Читайте внимательнее.

    Читал, читал я внимательно!
    Если бы не было попыток вписать IP в Cache management Яб и не писал.

    Да, и "Тогда рисуйте правила в fw." хотелось бы увидеть.  ;)



  • @dr.gopher:

    @werter:

    Он вам про совсем другое пишет :) Читайте внимательнее.

    Читал, читал я внимательно!
    Если бы не было попыток вписать IP в Cache management Яб и не писал.

    Да, и "Тогда рисуйте правила в fw." хотелось бы увидеть.  ;)

    ПисАть в Proxy server: Access control: External Cache-Managers : 127.0.0.1; LAN-ip pfsense



  • @werter:

    ПисАть в Proxy server: Access control: External Cache-Managers : 127.0.0.1; LAN-ip pfsense

    Squid+SquidGuard
    Эта запись (127.0.0.1;192.168.0.1;) в External Cache-Managers прописана автоматом.

    Попытка прописать 127.0.0.1;192.168.0.1;192.168.20.1; и сохранить.

    The following input errors were detected:

    You must enter a valid IP address in the 'External Cache Manager' field



  • @dr.gopher:

    @werter:

    ПисАть в Proxy server: Access control: External Cache-Managers : 127.0.0.1; LAN-ip pfsense

    Squid+SquidGuard
    Эта запись (127.0.0.1;192.168.0.1;) в External Cache-Managers прописана автоматом.

    Попытка прописать 127.0.0.1;192.168.0.1;192.168.20.1; и сохранить.

    The following input errors were detected:

    You must enter a valid IP address in the 'External Cache Manager' field

    192.168.20.1 - что это ? В этом поле указываются адреса  " which provides management controls and reports displaying statistics about the squid process as it runs" (http://wiki.squid-cache.org/Features/CacheManager?action=show&redirect=SquidFaq%2FCacheManager), т.е. к-ым разрешен сбор статистики и мониторинг работы squid (сторонним ПО, как вариант) . И больше ничего.



  • @werter:

    192.168.20.1 - что это ?

    адрес PPTP сервера.
    Мы ведь пытаемся разрешить сети PPTP 192.168.20.0/24 ходить через транспарент сквид! Или нет?



  • @dr.gopher:

    @werter:

    192.168.20.1 - что это ?

    адрес PPTP сервера.
    Мы ведь пытаемся разрешить сети PPTP 192.168.20.0/24 ходить через транспарент сквид! Или нет?

    Приехали :( А причем здесь External Cache-Managers  ?! От Вас с Вашими отличными и очень наглядными статьями, ув. dr.gopher, я такого не ожидал …

    Пробуем так :

    0. В VPN: VPN PPTP: PPTP DNS Servers указать 8.8.8.8 (для Интернета) или адрес dns-сервера вашего пров-ра.
    1. В Firewall: Rules :PPTP VPN рисуем правило , где в Source : PPTP clients разрешено всё (на время, конечно) и , если не будет работать, в нём же в  Advanced features : Gateway выбрать явно шлюз в Интернет.
    2. В Firewall: NAT: Outbound создать правило на WAN , где в Source  - адрес ppptp-сети.
    3. Подключиться pptp-клиентом и проверить пингом доступность адреса 8.8.8.8. Затем разорвать сессию.
    4. В Proxy server: Access control: Allowed subnets указать ppptp-подсеть.
    5. Переподключиться vpn-клиентом и проверить доступность www.

    Схема работоспособна, если при поднятие сессии клиентом этот туннель становится для подключившегося шлюзом по-умолчанию!



  • @werter:

    4. В Proxy server: Access control: Allowed subnets указать ppptp-подсеть.

    Смотрим выше о попытке добавления сети PPTP 192.168.20.0/24 в Allowed subnets и жалобах на External Cache-Managers

    В данный момент не имею возможности проверить ваше решение! Нет возможности подключиться к PPTPD, так как сизу за вторым PF в другом офисе. Но это уже другая история о GRE. :-((



  • Смотрим выше о попытке добавления сети PPTP 192.168.20.0/24 в Allowed subnets и жалобах на External Cache-Managers

    Только что проверил у себя. Всё Ок. Даже "левые" подсети вводил (и не одну) - всё ок. Да и с чего бы ему жаловаться - не с чего по логике.
    Пускай ТС у себя проверит.



  • @werter:

    Смотрим выше о попытке добавления сети PPTP 192.168.20.0/24 в Allowed subnets и жалобах на External Cache-Managers

    Только что проверил у себя. Всё Ок. Даже "левые" подсети вводил (и не одну) - всё ок. Да и с чего бы ему жаловаться - не с чего по логике.
    Пускай ТС у себя проверит.

    Значится где то галка лишняя поставлена, или убрана. Но у меня PF не дает добавлять подсети.
    Настроено так:
    http://thin.kiev.ua/router-os/50-pfsense/530-pfsense-squid.html

    @werter:

    Пускай ТС у себя проверит.

    ТС ???



  • ТС ???

    Топик стартер. Это общепринятое сокращение.


Locked