Lan pptp clients to squid

Desantnik74

Всем добрый день. Поставил squid на порт 3128 и ClamAV ему родительским прокси на 3125. Прокси прозрачный. Есть необходимость раздавать интернет также через vpn-подключение. Включил во вкладке VPN сервис pptp, указал серверу серый адрес 192.168.192.1, и диапазон для клиентов на 20 штук с 192.168.192.2. Пользователя завел для pptp. Но не могу догнать как прописать правила на разрешение подключений из локальной сети и на Nat, чтобы весь трафик натился на squid.
Нашел в нете как это делается через консоль:
#iptables rules for vpn
iptables -A INPUT -p gre -i eth1 -j ACCEPT
iptables -A INPUT -m tcp -p tcp -i eth1 –dport 1723 -j ACCEPT
#redirect traffic to proxy
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp -i ppp1 --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp -i ppp2 --dport 80,8080 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 192.168.192.0/24 -j MASQUERADE

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS  --clamp-mss-to-pmtu
iptables -A INPUT -p tcp -i eth0 --dport 80 -j REJECT --reject-with  tcp-reset
iptables -A INPUT -p tcp -i eth0 --dport 1723 -j REJECT --reject-with  tcp-reset
iptables -A INPUT -p tcp -i eth0 --dport 113 -j REJECT --reject-with  tcp-reset
iptables -A INPUT -p tcp -i eth0 --dport 3128 -j REJECT --reject-with tcp-reset

Как тоже самое сделать через веб-консоль?

Desantnik74

Прилагаю 3 скриншота с настройками firewall. По ним - соединение из локальной сети проходит, пользователь авторизуется, ему выдается серый ip. Но nat не работает, в интернет доступа нет.

werter

1.  Удаляйте правила на LAN и PPTP - оставьте по одному  на каждом интерфейсе - разрешено всё всем и по всем протоколам (временно)
2.  Удаляйте правило Port forwarding-a
3.  В настройках Proxy - > Allow subnets укажите адрес сети Ваших pptp-клиентов.

И всегда включайте логирование, чтобы понять где проблема.

dr.gopher

@Desantnik74:

Поставил squid на порт 3128 и ClamAV ему родительским прокси на 3125. Прокси прозрачный. Есть необходимость раздавать интернет также через vpn-подключение.

Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.
http://www.thin.kiev.ua/router-os/50-pfsense/668-pptp-squid-squidguard-pfsense-20.html

Desantnik74

@werter:

3.  В настройках Proxy - > Allow subnets укажите адрес сети Ваших pptp-клиентов.

Да я указал. Но сквид может висеть на: lan, wan и loopback. Сейчас он висит на lan интерфейсе с ip естественно не совпадающим с сеткой pptp клиентов, и как они без Nat и redirect увидят сквид? Тут для этого маскарад и затевается: что у клиентов pptp шлюзом и днс-сервером будет адрес который я указал в настройках pptp-сервера 192.168.192.1. И с него надо сNatить все что на него приходит на 80 и 8080 порт на сквид…

@dr.gopher:

Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.

Тогда будет трафик идти в обход сквида, мне нужно как раз наоборот.

werter

Вы сперва разберитесь, что такое NAT и что такое Proxy:

http://www.differencebetween.com/difference-between-nat-and-vs-proxy/

What is the difference between NAT and Proxy?

NAT modifies IP address in a header of an IP packet, while it is travelling through a routing device and allows to use a different set of IP addresses for traffic within a LAN than the set of IP addresses for outside traffic, while a proxy is a server that is located between a client and some other server and acts as a mediator. NAT does not need any special application software to operate, whereas applications behind a proxy server must support proxy services and should be configured to use the proxy server.

Не нужен Вам никакой NAT для проксификации соединений.

Desantnik74

Я знаком с теорией про Nat и proxy.
Может быть я неправильно изъясняюсь, но меня интересует вот такой же случай:
http://www.linuxquestions.org/questions/linux-networking-3/iptables-routing-vpn-users-through-transparent-squid-827642/
или тут тоже самое
http://serverfault.com/questions/173232/iptables-routing-vpn-users-through-transparent-squid
Хочу пустить http трафик через сквид, чтобы его видеть в статистике и ограничивания правилами сквида.

dr.gopher

@Desantnik74:

@dr.gopher:

Попробуйте PPTP Ip диапазон из LAN или (и) нужную подсеть пропишите в Bypass proxy for these destination IPs.

Тогда будет трафик идти в обход сквида, мне нужно как раз наоборот.

Я предложил вам проверить варианты изложенные в статье:
1й Вариант - Попробуйте PPTP Ip диапазон из LAN
2й  Вариант - подсеть пропишите в Bypass proxy

В свое время я обошелся вариантом 1.

werter

@ Desantnik74
И NAT в авторежим переведите пока что, если "крутили-вертели" его до этого. И Reset states сделать не забудьте.

Desantnik74

Спасибо за соучастие в моих поисках  :) Времени не было экспериментировать пока - обязательно отпишусь какие успехи будут.

Desantnik74

В общем сделал в Firewall Rules временные правила для интерфейсов Lan и PPTP VPN разрешить все всем, по всем портам в любых направлениях.
В нате указал для интерфейса pptp протоколы tcp\udp порты 53-443 натить на  3128 на самого себя ( ипишник сервера в lan)
В squid прописывал обе сетки (и диапазаон Lan и pptp) в Allowed subnets и в Unrestricted IPs - никакого результата. Подключение по pptp есть - интернета в нем нет))
Сеть pptp клиентов прописывал такую же как в lan - правда не знаю какой адрес указывать было в  Server address и PPTP DNS Servers. Так как адрес pfsense в локалке нельзя тут указывать - забил вместо него другой свободный.
Может быть можно как-нибудь из ssh-клиента посмотреть в терминале вывод iptables которые сейчас действуют?

werter

Клиенты PPTP - все на Win ? И внешние ли они или внутренние ?

P.s. Прочтите свои ЛС, пож-та.

Desantnik74

Нашел работающую конфигурацию. У меня несколько сеток класса С в локалке, потому чтобы не путать никого обозначил их просто Lan1 и Lan2.
PPTP Lan - любая серая сеть, у меня 192.168.5.0/24.  Вот скрины:

werter

@ Desantnik74

Объясните, пож-та, скрины №1 и №2 (сверху-вниз).

P.s. Клиенты PPTP - внешние или внутренние ? Так и не услышал ответа.

Desantnik74

клиенты внутренние. нужно было предоставить доступ в интернет из локальной сети через vpn.
lan.jpg - разрешить подключение к серверу из 2 диапазонов локальной сети (lan1 и lan2)
nat.jpg - натить трафик подключившихся vpn-пользователей (80-443 порт) на squid.
сейчас думаю как разрешить доступ по openvpn из интернета в локальную сеть…

dr.gopher

@Desantnik74:

клиенты внутренние. нужно было предоставить доступ в интернет из локальной сети через vpn.

Дожал вас werter!
В таком раскладе, PPTP настраивается так http://www.thin.kiev.ua/router-os/50-pfsense/595-pptpserver.html

werter

@ Desantnik74

Не обижайтесь, но скрины 1 и 2 - полный бред :

скрин 1 - зачем явно разрешать доступ с лан-адресов к лан-адресу пф по портам с 53 по 3128 ?!
скрин 2 - вообще тихий ужас  :-[ Вы пробрасываете для внутреннего (!!!) pptp на внешний адрес пф порты с 80 по 443 да еще и при этом на адрес localhost ?!

Удаляйте эти "чуда-правила" . Оставляйте только настройки squid.

P.s. Кстати, а в каком у вас режиме работает squid ? "Прозрачный" или нет? Я так и не понял.

Desantnik74

Спасибо werter за активную помощь в решении проблемы ;) !
Мое решение (как в скринах) подходит только для моих условий, поэтому не рекомендую это нигде повторять на трезвую голову :)