Squidguard доступ к сайтам через VPN



  • Всем привет,
    Не работает филтрация сайтов через впн канал… Вбиваю подсеть за клиентом, сквид стоит на серверной части пфсенс, сайты блокируются в подсети сервера, а в подсети клиента впн не хотят.



  • Proxy server: General settings:Proxy interface там какое значение выбрано ? Если LAN (по-дефолту) , то он LAN и проксирует-фильтрует. А Сквидгвард привязан к Сквиду.



  • @werter:

    Proxy server: General settings:Proxy interface там какое значение выбрано ? Если LAN (по-дефолту) , то он LAN и проксирует-фильтрует. А Сквидгвард привязан к Сквиду.

    Я выбирал и ЛАН и ВПН, у меня виртуальный интерфейс на впн заязан…
    А что надо выбрать?



  • Прокси прозрачно работает?



  • @dvserg:

    Прокси прозрачно работает?

    угу, трансперент, в клиенте впн стоит ее порт… Я выделил в сквиде интерфейс через который впн работает и помоему понял почему не работало, я вбивал новое правило а на главной странице фильтра apply не нажимал... Я думаю поэтому



  • Вобщем ничего не работает… ( Не фильтрует сайты для подсети 192.168.1.0/24 которая через канал VPN соединена с прокси...



  • @Bansardo:

    Вобщем ничего не работает… ( Не фильтрует сайты для подсети 192.168.1.0/24 которая через канал VPN соединена с прокси...

    Если PPTP - я настраивал сервер выдавать IP из диапазона LAN. Тогда все ходит. А как сквиду объяснить две сети, руки не дошли. :-(
    http://www.thin.kiev.ua/router-os/50-pfsense/668-pptp-squid-squidguard-pfsense-20.html



  • Так не вкатит, впн канал peer to peer shared
    две подсети 192.168.0.0/24 (за сервером впн) и 192.168.1.0/24 (за клиентом впн)
    и попутный вопрос: как сделать для фильтра страничку свою с ошибкой, чтоб там написать что нужно



  • Вывод Diagnostics -> Command -> Execute Shell command -> Command: pfctl -sa | grep "127.0.0.1 port 3128" приведите.



  • @rubic:

    Вывод Diagnostics -> Command -> Execute Shell command -> Command: pfctl -sa | grep "127.0.0.1 port 3128" приведите.

    У меня
    $ pfctl -sa | grep "127.0.0.1 port 3128"
    rdr on sk0 inet proto tcp from any to ! (sk0) port = http -> 127.0.0.1 port 3128
    rdr on pptp inet proto tcp from any to ! 127.0.0.1 port = http -> 127.0.0.1 port 3128



  • Я в "Proxy server" на закладке "ACLs" в "Allowed subnets" добавил сеть за клиентом и сеть VPN. Всё бегает.  Правда, у меня прокси не прозрачный.
    А вот при попытке ответить в эту ветку упёрся и "invalid argument". Несколько раз пытался. В остальные ветки нормально, вроде…



  • ничего не выдает…
    вот что пишет
    $ pfctl -sa | grep "127.0.0.1 port 3128"



  • Не работает у вас прокси в прозрачном режиме. Нет редиректа порта, см. пост dr.gopher



  • Это я команду на клиенте выполнил, там вообще проксяка не стоит….
    Ответ на сервере:
    $ pfctl -sa | grep "127.0.0.1 port 3128"
    rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.0.0.1 port 3128
    rdr on re0_vlan3 inet proto tcp from any to ! (re0_vlan3) port = http -> 127.0.0.1 port 3128

    В логах впн на клиенте почему то записи появляются
    Mar 5 15:57:25 openvpn[20837]: write UDPv4: No route to host (code=65)



  • Squid на сервере не привязан к OpenVPN интерфейсу. В настройках Squid в Proxy interface выбрать на ряду с LAN интерфейс OpenVPN, если нет в списке, то сначала объявить через Interfaces -> (assign), как на клиенте делали.



  • @rubic:

    Squid на сервере не привязан к OpenVPN интерфейсу. В настройках Squid в Proxy interface выбрать на ряду с LAN интерфейс OpenVPN, если нет в списке, то сначала объявить через Interfaces -> (assign), как на клиенте делали.

    Выбран он… Просто я думаю что выбран интерфейс виртуальный с нужным тегом, а надо выбрать сам WAN интерфейс?
    Или ты имеешь ввиду сам опенвпн канал? Надо попробовать!

    Плюс, я почему то не могу зайти на вебинтерфейс ип телефона (192.168.1.151), а лезу из подсети 192.168.0.0/24 (серверная часть)
    Телефон пингуется.. Причем сообщение об ошибке сквидом сгенерено... и приходит с 192.168.0.10/24



  • Есть предложения почему не дает зайти на веб интерфейс телефона?
    Главное на 1.10 заходит, на веб интерфейс самого сенса, а на 1.151 не хочет…

    Нашел решение проблемы записав подсеть 192.168.1.0/24 в разделе прокси Bypass proxy for these destination IPs. Правильно это или нет?



  • @Bansardo:

    Есть предложения почему не дает зайти на веб интерфейс телефона?
    Главное на 1.10 заходит, на веб интерфейс самого сенса, а на 1.151 не хочет…

    Нашел решение проблемы записав подсеть 192.168.1.0/24 в разделе прокси Bypass proxy for these destination IPs. Правильно это или нет?

    Dist - это назначение, из любой подсети в 192.168.1.0/24 можно все. А не прощще обьявить впн подсети и сделать рульку на порт веб морды пфсенса из первой подсети? Хотя кому-как удобно :)


Log in to reply