Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Lan pptp clients to squid

    Scheduled Pinned Locked Moved Russian
    18 Posts 3 Posters 5.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      Desantnik74
      last edited by

      Всем добрый день. Поставил squid на порт 3128 и ClamAV ему родительским прокси на 3125. Прокси прозрачный. Есть необходимость раздавать интернет также через vpn-подключение. Включил во вкладке VPN сервис pptp, указал серверу серый адрес 192.168.192.1, и диапазон для клиентов на 20 штук с 192.168.192.2. Пользователя завел для pptp. Но не могу догнать как прописать правила на разрешение подключений из локальной сети и на Nat, чтобы весь трафик натился на squid.
      Нашел в нете как это делается через консоль:
      #iptables rules for vpn
      iptables -A INPUT -p gre -i eth1 -j ACCEPT
      iptables -A INPUT -m tcp -p tcp -i eth1 –dport 1723 -j ACCEPT
      #redirect traffic to proxy
      iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80,8080 -j REDIRECT --to-port 3128
      iptables -t nat -A PREROUTING -p tcp -i ppp1 --dport 80,8080 -j REDIRECT --to-port 3128
      iptables -t nat -A PREROUTING -p tcp -i ppp2 --dport 80,8080 -j REDIRECT --to-port 3128
      iptables -t nat -A POSTROUTING -s 192.168.192.0/24 -j MASQUERADE

      iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu
      iptables -A INPUT -p tcp -i eth0 --dport 80 -j REJECT --reject-with  tcp-reset
      iptables -A INPUT -p tcp -i eth0 --dport 1723 -j REJECT --reject-with  tcp-reset
      iptables -A INPUT -p tcp -i eth0 --dport 113 -j REJECT --reject-with  tcp-reset
      iptables -A INPUT -p tcp -i eth0 --dport 3128 -j REJECT --reject-with tcp-reset

      Как тоже самое сделать через веб-консоль?

      1 Reply Last reply Reply Quote 0
      • D
        Desantnik74
        last edited by

        Прилагаю 3 скриншота с настройками firewall. По ним - соединение из локальной сети проходит, пользователь авторизуется, ему выдается серый ip. Но nat не работает, в интернет доступа нет.

        fwlan.jpg
        fwlan.jpg_thumb
        fwvpn.jpg
        fwvpn.jpg_thumb
        nat.jpg
        nat.jpg_thumb

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          1.  Удаляйте правила на LAN и PPTP - оставьте по одному  на каждом интерфейсе - разрешено всё всем и по всем протоколам (временно)
          2.  Удаляйте правило Port forwarding-a
          3.  В настройках Proxy - > Allow subnets укажите адрес сети Ваших pptp-клиентов.

          И всегда включайте логирование, чтобы понять где проблема.

          1 Reply Last reply Reply Quote 0
          • D
            dr.gopher
            last edited by

            @Desantnik74:

            Поставил squid на порт 3128 и ClamAV ему родительским прокси на 3125. Прокси прозрачный. Есть необходимость раздавать интернет также через vpn-подключение.

            Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.
            http://www.thin.kiev.ua/router-os/50-pfsense/668-pptp-squid-squidguard-pfsense-20.html

            FAQ PfSense 2.0

            И не забываем про Adblock дабы не видеть баннеров.

            И многое другое на www.thin.kiev.ua

            1 Reply Last reply Reply Quote 0
            • D
              Desantnik74
              last edited by

              @werter:

              3.  В настройках Proxy - > Allow subnets укажите адрес сети Ваших pptp-клиентов.

              Да я указал. Но сквид может висеть на: lan, wan и loopback. Сейчас он висит на lan интерфейсе с ip естественно не совпадающим с сеткой pptp клиентов, и как они без Nat и redirect увидят сквид? Тут для этого маскарад и затевается: что у клиентов pptp шлюзом и днс-сервером будет адрес который я указал в настройках pptp-сервера 192.168.192.1. И с него надо сNatить все что на него приходит на 80 и 8080 порт на сквид…

              @dr.gopher:

              Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.

              Тогда будет трафик идти в обход сквида, мне нужно как раз наоборот.

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Вы сперва разберитесь, что такое NAT и что такое Proxy:

                http://www.differencebetween.com/difference-between-nat-and-vs-proxy/

                What is the difference between NAT and Proxy?

                NAT modifies IP address in a header of an IP packet, while it is travelling through a routing device and allows to use a different set of IP addresses for traffic within a LAN than the set of IP addresses for outside traffic, while a proxy is a server that is located between a client and some other server and acts as a mediator. NAT does not need any special application software to operate, whereas applications behind a proxy server must support proxy services and should be configured to use the proxy server.

                Не нужен Вам никакой NAT для проксификации соединений.

                1 Reply Last reply Reply Quote 0
                • D
                  Desantnik74
                  last edited by

                  Я знаком с теорией про Nat и proxy.
                  Может быть я неправильно изъясняюсь, но меня интересует вот такой же случай:
                  http://www.linuxquestions.org/questions/linux-networking-3/iptables-routing-vpn-users-through-transparent-squid-827642/
                  или тут тоже самое
                  http://serverfault.com/questions/173232/iptables-routing-vpn-users-through-transparent-squid
                  Хочу пустить http трафик через сквид, чтобы его видеть в статистике и ограничивания правилами сквида.

                  1 Reply Last reply Reply Quote 0
                  • D
                    dr.gopher
                    last edited by

                    @Desantnik74:

                    @dr.gopher:

                    Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.

                    Тогда будет трафик идти в обход сквида, мне нужно как раз наоборот.

                    Я предложил вам проверить варианты изложенные в статье:
                    1й Вариант - Попробуйте PPTP Ip диапазон из LAN
                    2й  Вариант - подсеть пропишите в Bypass proxy

                    В свое время я обошелся вариантом 1.

                    FAQ PfSense 2.0

                    И не забываем про Adblock дабы не видеть баннеров.

                    И многое другое на www.thin.kiev.ua

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      @ Desantnik74
                      И NAT в авторежим переведите пока что, если "крутили-вертели" его до этого. И Reset states сделать не забудьте.

                      1 Reply Last reply Reply Quote 0
                      • D
                        Desantnik74
                        last edited by

                        Спасибо за соучастие в моих поисках  :) Времени не было экспериментировать пока - обязательно отпишусь какие успехи будут.

                        1 Reply Last reply Reply Quote 0
                        • D
                          Desantnik74
                          last edited by

                          В общем сделал в Firewall Rules временные правила для интерфейсов Lan и PPTP VPN разрешить все всем, по всем портам в любых направлениях.
                          В нате указал для интерфейса pptp протоколы tcp\udp порты 53-443 натить на  3128 на самого себя ( ипишник сервера в lan)
                          В squid прописывал обе сетки (и диапазаон Lan и pptp) в Allowed subnets и в Unrestricted IPs - никакого результата. Подключение по pptp есть - интернета в нем нет))
                          Сеть pptp клиентов прописывал такую же как в lan - правда не знаю какой адрес указывать было в  Server address и PPTP DNS Servers. Так как адрес pfsense в локалке нельзя тут указывать - забил вместо него другой свободный.
                          Может быть можно как-нибудь из ssh-клиента посмотреть в терминале вывод iptables которые сейчас действуют?

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            Клиенты PPTP - все на Win ? И внешние ли они или внутренние ?

                            P.s. Прочтите свои ЛС, пож-та.

                            1 Reply Last reply Reply Quote 0
                            • D
                              Desantnik74
                              last edited by

                              Нашел работающую конфигурацию. У меня несколько сеток класса С в локалке, потому чтобы не путать никого обозначил их просто Lan1 и Lan2.
                              PPTP Lan - любая серая сеть, у меня 192.168.5.0/24.  Вот скрины:

                              lan.jpg
                              lan.jpg_thumb
                              nat.jpg
                              nat.jpg_thumb
                              pptp.jpg
                              pptp.jpg_thumb
                              squid.jpg
                              squid.jpg_thumb
                              vpn.jpg
                              vpn.jpg_thumb
                              wan.jpg
                              wan.jpg_thumb

                              1 Reply Last reply Reply Quote 0
                              • werterW
                                werter
                                last edited by

                                @ Desantnik74

                                Объясните, пож-та, скрины №1 и №2 (сверху-вниз).

                                P.s. Клиенты PPTP - внешние или внутренние ? Так и не услышал ответа.

                                1 Reply Last reply Reply Quote 0
                                • D
                                  Desantnik74
                                  last edited by

                                  клиенты внутренние. нужно было предоставить доступ в интернет из локальной сети через vpn.
                                  lan.jpg - разрешить подключение к серверу из 2 диапазонов локальной сети (lan1 и lan2)
                                  nat.jpg - натить трафик подключившихся vpn-пользователей (80-443 порт) на squid.
                                  сейчас думаю как разрешить доступ по openvpn из интернета в локальную сеть…

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dr.gopher
                                    last edited by

                                    @Desantnik74:

                                    клиенты внутренние. нужно было предоставить доступ в интернет из локальной сети через vpn.

                                    Дожал вас werter!
                                    В таком раскладе, PPTP настраивается так http://www.thin.kiev.ua/router-os/50-pfsense/595-pptpserver.html

                                    FAQ PfSense 2.0

                                    И не забываем про Adblock дабы не видеть баннеров.

                                    И многое другое на www.thin.kiev.ua

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      @ Desantnik74

                                      Не обижайтесь, но скрины 1 и 2 - полный бред :

                                      скрин 1 - зачем явно разрешать доступ с лан-адресов к лан-адресу пф по портам с 53 по 3128 ?!
                                      скрин 2 - вообще тихий ужас  :-[ Вы пробрасываете для внутреннего (!!!) pptp на внешний адрес пф порты с 80 по 443 да еще и при этом на адрес localhost ?!

                                      Удаляйте эти "чуда-правила" . Оставляйте только настройки squid.

                                      P.s. Кстати, а в каком у вас режиме работает squid ? "Прозрачный" или нет? Я так и не понял.

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        Desantnik74
                                        last edited by

                                        Спасибо werter за активную помощь в решении проблемы ;) !
                                        Мое решение (как в скринах) подходит только для моих условий, поэтому не рекомендую это нигде повторять на трезвую голову :)

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.