Zentyal Forum, Linux Small Business Server
International => Russian => Topic started by: nick_michaels on June 06, 2012, 12:16:54 pm
-
Добрый день! Имеется шлюз на основе Zentyal 2.2. На нем настроен openVPN к которому подключаются компьютеры из удаленных точек. Все работает замечательно, но вот есть необходимость пропускать http трафик этих удаленных компьютеров через этот самый шлюз, а точнее через squid со всеми вытекающими прелестями управления трафиком. Zentyal делал шлюзом поумолчанию на клиентах + прозрачный прокси. Инет на удаленных компах есть, а в журнале squid этот трафик не фигурирует. Пробовал без прозрачного прокси через авторизацию, инет не работает. В качестве прокси указывал внутренний интерфейс и интерфейс openVPN, не помогло. Как можно реализовать данную задачу? Возможно кто то уже делал подобное. Заранее спасибо!
-
Либо бред какой-то, либо я не понимаю чего-то...
-
Проще говоря как мне гнать http трафик клиентов openVPN через шлюз zentyal? Поумолчанию интернет трафик идет через шлюз локальной сети клиента.
-
На клиентской стороне есть интернет, почему бы его не использовать? Поставь на клиентской стороне шлюз Zentyal и используй его "прелести управления трафиком". Представь какой трафик будет гнаться по VPN туда и обратно, какими коллизиями это черевато для сети, если ты реализуешь свою странную задумку...
-
Инет то есть, но нужно открыть доступ всего для пару сайтов. Ко всем остальным доступ нужно закрыть. Удаленных компов сейчас 20, находятся в разных местах, будет больше, провайдеры разные, поэтому ставить везде zentyal не резон. HTTP трафик будет не большой, какие коллизии при этом могут возникнуть скажи пожалуйста :)
-
Ну если так необходимо, то делай так:
1) Указажи в качестве адреса прокси 192.168.160.1 (или 192.168.210.1 для PPTP), порт 3128
2) Так как сеть ВПН для Zentyal считается чужой, необходимо добавить правило "Filtering rules from external networks to Zentyal "
Decision: Accept
Source: Source IP 192.168.160.0/24 или 192.168.210.0/24
Service: Создаем службу SQUID - Protocol:TCP, Source port:any, Destination port:3128
Description: Описание правила, для себя
Этого должно хватить. При прозрачном проксировании фильтрация не работает.
-
2) Так как сеть ВПН для Zentyal считается чужой, необходимо добавить правило "Filtering rules from external networks to Zentyal "
Прошу прощения за то что вмешиваюсь.
Вы абсолютно точно уверены в том, что OpenVPN сеть в Zentyal идет как внешняя? Может быть она всё же внутренняя?
-
Zentya в web-интерфейсе впринципе не отображет tun и tap сети
# interfaces to ignore in the interface
# (default: sit,tun,tap,lo,irda,ppp,virbr,vboxnet, vnet)
ifaces_to_ignore = sit,tun,tap,lo,irda,ppp,virbr,vboxnet,vnet
Необходимо прописать что-то пипа
-A premodules ! -i tun0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
в хуки.
-
Внутренние сети для Zentyal те сети, что указаны как Internal, как я понял... По крайней мере nmap показал, что по VPN ( у меня был поднят PPTP) доступ к портам squid и еще для пары сервисов фильтруется фаерволом, почтовые порты и jabber у меня открыты для внешки. Вот я и предположил, что VPN считается внешней сетью. Если я не прав, можете поправить.
-
Внутренние сети для Zentyal те сети, что указаны как Internal, как я понял... По крайней мере nmap показал, что по VPN ( у меня был поднят PPTP) доступ к портам squid и еще для пары сервисов фильтруется фаерволом, почтовые порты и jabber у меня открыты для внешки. Вот я и предположил, что VPN считается внешней сетью. Если я не прав, можете поправить.
Мне кажется, вы ошибаетесь, считая VPN-сети внешними.
Они внутренние же!
Только что проверил: доступ к веб-интерфейсу зентяла из внешней сети у меня закрыт, из внутренней же - открыт.
Сижу на впн-е, на впн-овском адресе веб-интерфейс открывается.
-
nmap -v sS 192.168.160.1
Вывод посмотри. Порт 3128 закрыт
-
Ох, точно.
А как использовать основной шлюз в удаленной сети?
Чтобы весь трафик шел через OpenVPN?
-
Я когда по PPTP подключаюсь у меня трафик по умолчанию по нему бегает (проверено при подключении к локальному трекеру провайдера из сторонней сети). Если по OpenVPN не так нужно бы добавить дефолтный маршрут.
route add default gw 192.168.160.1
В виндовых машинах на любом сетевом соединении прописать ручками. Или, если используется локальный DHCP на местах, пропиши в раздачу. Также маршрут можно прописать в скрипт OpenVPN.
Вопщем дальше все просто должно быть
-
Согласен с советом. Штатными средствами Windows можно добавить маршруты для перенаправления трафика на удаленный Zentyal. При этом метрика для для маршрута должна быть меньше, установленной по-умолчанию. Используйте команду Windows "route print" после установки соединения через OpenVPN. В консоли будет виден TAP - интерфейс. На его номер необходимо ориентироваться при добавлении маршрута командой "route add...".
-
Добрый день!
У кого-нибудь работает данная схема ? http трафик в сети openVPN через squid, а именно фильтрация?
-
Доброго времени суток
Так же цепляюсь за данную тему!!
Оооочень нужно знать на какие сайты ходят пользователи, подключенные по Опенвпн
Помогите с задачкой - если можно подробнее
-
я ору тебе, добавь строку
management-query-proxy
в клиентский конфиг openvpn
-
Хм ... что это предоставит и где увидеть?