Author Topic: http трафик в сети openVPN через squid  (Read 5582 times)

nick_michaels

  • Zen Apprentice
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
http трафик в сети openVPN через squid
« on: June 06, 2012, 12:16:54 pm »
Добрый день! Имеется шлюз на основе Zentyal 2.2. На нем настроен openVPN к которому подключаются компьютеры из удаленных точек. Все работает замечательно, но вот есть необходимость пропускать http трафик этих удаленных компьютеров через этот самый шлюз, а точнее через squid со всеми вытекающими прелестями управления трафиком. Zentyal делал шлюзом поумолчанию на клиентах + прозрачный прокси. Инет на удаленных компах есть, а в журнале squid этот трафик не фигурирует. Пробовал без прозрачного прокси через авторизацию, инет не работает. В качестве прокси указывал внутренний интерфейс и интерфейс openVPN, не помогло. Как можно реализовать данную задачу? Возможно кто то уже делал подобное. Заранее спасибо!
« Last Edit: June 08, 2012, 08:10:24 am by nick_michaels »

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: http трафик из сети openVPN через squid
« Reply #1 on: June 07, 2012, 10:09:29 am »
Либо бред какой-то, либо я не понимаю чего-то...

nick_michaels

  • Zen Apprentice
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: http трафик из сети openVPN через squid
« Reply #2 on: June 07, 2012, 02:05:32 pm »
Проще говоря как мне гнать http трафик клиентов openVPN через шлюз zentyal? Поумолчанию интернет трафик идет через шлюз локальной сети клиента.
« Last Edit: June 07, 2012, 02:11:40 pm by nick_michaels »

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #3 on: June 13, 2012, 11:25:08 am »
На клиентской стороне есть интернет, почему бы его не использовать? Поставь на клиентской стороне шлюз Zentyal и используй его "прелести управления трафиком". Представь какой трафик будет гнаться по VPN туда и обратно, какими коллизиями это черевато для сети, если ты реализуешь свою странную задумку...

nick_michaels

  • Zen Apprentice
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #4 on: June 14, 2012, 01:28:57 pm »
Инет то есть, но нужно открыть доступ всего для пару сайтов. Ко всем остальным доступ нужно закрыть. Удаленных компов сейчас 20, находятся в разных местах, будет больше, провайдеры разные, поэтому ставить везде zentyal не резон. HTTP трафик будет не большой, какие коллизии при этом могут возникнуть скажи пожалуйста :)

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #5 on: June 15, 2012, 07:52:18 am »
Ну если так необходимо, то делай так:
1) Указажи в качестве адреса прокси 192.168.160.1 (или 192.168.210.1 для PPTP), порт 3128
2) Так как сеть ВПН для Zentyal считается чужой, необходимо добавить правило "Filtering rules from external networks to Zentyal "
Decision: Accept
Source: Source IP 192.168.160.0/24 или 192.168.210.0/24
Service: Создаем службу SQUID - Protocol:TCP, Source port:any, Destination port:3128
Description: Описание правила, для себя

Этого должно хватить. При прозрачном проксировании фильтрация не работает.

YOBA

  • Zen Monk
  • **
  • Posts: 87
  • Karma: +4/-0
  • ALLU YOBA ETO TI?
    • View Profile
    • XXX MYTISCHI HARDCORE OCHOBA XXX
Re: http трафик в сети openVPN через squid
« Reply #6 on: June 18, 2012, 07:30:21 am »
2) Так как сеть ВПН для Zentyal считается чужой, необходимо добавить правило "Filtering rules from external networks to Zentyal "
Прошу прощения за то что вмешиваюсь.
Вы абсолютно точно уверены в том, что OpenVPN сеть в Zentyal идет как внешняя? Может быть она всё же внутренняя?

KV1s

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #7 on: June 19, 2012, 07:59:50 pm »
Zentya в web-интерфейсе впринципе не отображет tun и tap сети

Quote
# interfaces to ignore in the interface
# (default: sit,tun,tap,lo,irda,ppp,virbr,vboxnet, vnet)
ifaces_to_ignore = sit,tun,tap,lo,irda,ppp,virbr,vboxnet,vnet

Необходимо прописать что-то пипа
Code: [Select]
-A premodules !  -i tun0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128в хуки.

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #8 on: June 22, 2012, 10:50:28 pm »
Внутренние сети для Zentyal те сети, что указаны как Internal, как я понял... По крайней мере nmap показал, что по VPN ( у меня был поднят PPTP) доступ к портам squid и еще для пары сервисов фильтруется фаерволом, почтовые порты и jabber у меня открыты для внешки. Вот я и предположил, что VPN считается внешней сетью. Если я не прав, можете поправить.

YOBA

  • Zen Monk
  • **
  • Posts: 87
  • Karma: +4/-0
  • ALLU YOBA ETO TI?
    • View Profile
    • XXX MYTISCHI HARDCORE OCHOBA XXX
Re: http трафик в сети openVPN через squid
« Reply #9 on: June 25, 2012, 01:32:32 pm »
Внутренние сети для Zentyal те сети, что указаны как Internal, как я понял... По крайней мере nmap показал, что по VPN ( у меня был поднят PPTP) доступ к портам squid и еще для пары сервисов фильтруется фаерволом, почтовые порты и jabber у меня открыты для внешки. Вот я и предположил, что VPN считается внешней сетью. Если я не прав, можете поправить.

Мне кажется, вы ошибаетесь, считая VPN-сети внешними.
Они внутренние же!
Только что проверил: доступ к веб-интерфейсу зентяла из внешней сети у меня закрыт, из внутренней же - открыт.
Сижу на впн-е, на впн-овском адресе веб-интерфейс открывается.

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #10 on: July 02, 2012, 04:38:37 am »
nmap -v sS 192.168.160.1
Вывод посмотри. Порт 3128 закрыт

YOBA

  • Zen Monk
  • **
  • Posts: 87
  • Karma: +4/-0
  • ALLU YOBA ETO TI?
    • View Profile
    • XXX MYTISCHI HARDCORE OCHOBA XXX
Re: http трафик в сети openVPN через squid
« Reply #11 on: July 02, 2012, 07:04:39 am »
Ох, точно.

А как использовать основной шлюз в удаленной сети?
Чтобы весь трафик шел через OpenVPN?

mravil

  • Zen Samurai
  • ****
  • Posts: 410
  • Karma: +27/-4
  • В чужую сеть со своим протоколом не лезь!
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #12 on: July 03, 2012, 05:06:22 am »
Я когда по PPTP подключаюсь у меня трафик по умолчанию по нему бегает (проверено при подключении к локальному трекеру провайдера из сторонней сети). Если по OpenVPN не так нужно бы добавить дефолтный маршрут.
Code: [Select]
route add default gw 192.168.160.1
В виндовых машинах на любом сетевом соединении прописать ручками. Или, если используется локальный DHCP на местах, пропиши в раздачу. Также маршрут можно прописать в скрипт OpenVPN.

Вопщем дальше все просто должно быть

SmartPIT

  • Zen Apprentice
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #13 on: July 31, 2012, 08:52:26 pm »
Согласен с советом. Штатными средствами Windows можно добавить маршруты для перенаправления трафика на удаленный Zentyal. При этом метрика для для маршрута должна быть меньше, установленной по-умолчанию. Используйте команду Windows "route print" после установки соединения через OpenVPN. В консоли будет виден TAP - интерфейс. На его номер необходимо ориентироваться при добавлении маршрута командой "route add...".

tunsa

  • Zen Samurai
  • ****
  • Posts: 350
  • Karma: +15/-1
    • View Profile
Re: http трафик в сети openVPN через squid
« Reply #14 on: August 12, 2013, 10:01:04 am »
Добрый день!

У кого-нибудь работает данная схема ? http трафик в сети openVPN через squid, а именно фильтрация?