Squidguard доступ к сайтам через VPN
-
Всем привет,
Не работает филтрация сайтов через впн канал… Вбиваю подсеть за клиентом, сквид стоит на серверной части пфсенс, сайты блокируются в подсети сервера, а в подсети клиента впн не хотят. -
Proxy server: General settings:Proxy interface там какое значение выбрано ? Если LAN (по-дефолту) , то он LAN и проксирует-фильтрует. А Сквидгвард привязан к Сквиду.
-
Proxy server: General settings:Proxy interface там какое значение выбрано ? Если LAN (по-дефолту) , то он LAN и проксирует-фильтрует. А Сквидгвард привязан к Сквиду.
Я выбирал и ЛАН и ВПН, у меня виртуальный интерфейс на впн заязан…
А что надо выбрать? -
Прокси прозрачно работает?
-
Прокси прозрачно работает?
угу, трансперент, в клиенте впн стоит ее порт… Я выделил в сквиде интерфейс через который впн работает и помоему понял почему не работало, я вбивал новое правило а на главной странице фильтра apply не нажимал... Я думаю поэтому
-
Вобщем ничего не работает… ( Не фильтрует сайты для подсети 192.168.1.0/24 которая через канал VPN соединена с прокси...
-
@Bansardo:
Вобщем ничего не работает… ( Не фильтрует сайты для подсети 192.168.1.0/24 которая через канал VPN соединена с прокси...
Если PPTP - я настраивал сервер выдавать IP из диапазона LAN. Тогда все ходит. А как сквиду объяснить две сети, руки не дошли. :-(
http://www.thin.kiev.ua/router-os/50-pfsense/668-pptp-squid-squidguard-pfsense-20.html -
Так не вкатит, впн канал peer to peer shared
две подсети 192.168.0.0/24 (за сервером впн) и 192.168.1.0/24 (за клиентом впн)
и попутный вопрос: как сделать для фильтра страничку свою с ошибкой, чтоб там написать что нужно -
Вывод Diagnostics -> Command -> Execute Shell command -> Command: pfctl -sa | grep "127.0.0.1 port 3128" приведите.
-
Вывод Diagnostics -> Command -> Execute Shell command -> Command: pfctl -sa | grep "127.0.0.1 port 3128" приведите.
У меня
$ pfctl -sa | grep "127.0.0.1 port 3128"
rdr on sk0 inet proto tcp from any to ! (sk0) port = http -> 127.0.0.1 port 3128
rdr on pptp inet proto tcp from any to ! 127.0.0.1 port = http -> 127.0.0.1 port 3128 -
Я в "Proxy server" на закладке "ACLs" в "Allowed subnets" добавил сеть за клиентом и сеть VPN. Всё бегает. Правда, у меня прокси не прозрачный.
А вот при попытке ответить в эту ветку упёрся и "invalid argument". Несколько раз пытался. В остальные ветки нормально, вроде… -
ничего не выдает…
вот что пишет
$ pfctl -sa | grep "127.0.0.1 port 3128" -
Не работает у вас прокси в прозрачном режиме. Нет редиректа порта, см. пост dr.gopher
-
Это я команду на клиенте выполнил, там вообще проксяка не стоит….
Ответ на сервере:
$ pfctl -sa | grep "127.0.0.1 port 3128"
rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.0.0.1 port 3128
rdr on re0_vlan3 inet proto tcp from any to ! (re0_vlan3) port = http -> 127.0.0.1 port 3128В логах впн на клиенте почему то записи появляются
Mar 5 15:57:25 openvpn[20837]: write UDPv4: No route to host (code=65) -
Squid на сервере не привязан к OpenVPN интерфейсу. В настройках Squid в Proxy interface выбрать на ряду с LAN интерфейс OpenVPN, если нет в списке, то сначала объявить через Interfaces -> (assign), как на клиенте делали.
-
Squid на сервере не привязан к OpenVPN интерфейсу. В настройках Squid в Proxy interface выбрать на ряду с LAN интерфейс OpenVPN, если нет в списке, то сначала объявить через Interfaces -> (assign), как на клиенте делали.
Выбран он… Просто я думаю что выбран интерфейс виртуальный с нужным тегом, а надо выбрать сам WAN интерфейс?
Или ты имеешь ввиду сам опенвпн канал? Надо попробовать!Плюс, я почему то не могу зайти на вебинтерфейс ип телефона (192.168.1.151), а лезу из подсети 192.168.0.0/24 (серверная часть)
Телефон пингуется.. Причем сообщение об ошибке сквидом сгенерено... и приходит с 192.168.0.10/24 -
Есть предложения почему не дает зайти на веб интерфейс телефона?
Главное на 1.10 заходит, на веб интерфейс самого сенса, а на 1.151 не хочет…Нашел решение проблемы записав подсеть 192.168.1.0/24 в разделе прокси Bypass proxy for these destination IPs. Правильно это или нет?
-
@Bansardo:
Есть предложения почему не дает зайти на веб интерфейс телефона?
Главное на 1.10 заходит, на веб интерфейс самого сенса, а на 1.151 не хочет…Нашел решение проблемы записав подсеть 192.168.1.0/24 в разделе прокси Bypass proxy for these destination IPs. Правильно это или нет?
Dist - это назначение, из любой подсети в 192.168.1.0/24 можно все. А не прощще обьявить впн подсети и сделать рульку на порт веб морды пфсенса из первой подсети? Хотя кому-как удобно :)
