SQUID + OPENVPN

[alexbalkan]

Привет всем форумчанам!
Подскажите возможно ли через squid пропустить openvpn. Если нет то почему?

[fisher74]

можно

[alexbalkan]

Приветствую всех!
Ок, получилось, пропустил openvpn через squid. Но есть но - Аунтификация на squid (ввод login|pass) Как обойти этот момент, чтобы не вводить логин и пасс? Чтобы в конфиге клиента client.ovpn вписать ключ для доступа к прокси.
-----BEGIN CERTIFICATE-----
MIIBszCCARygAwIBAgIE...
. . .
/NygscQs1bxBSZ0X3KRk...
Lq9iNBNgWg==
-----END CERTIFICATE-----
Возможно ли такое? Если да, то что надо сделать для этого?
Я работаю на IOS в основном, клиент с ключами без проблем работает, если без прокси напрямую конектится на внешний порт OpenVPN.

[AnrDaemon]

Промежуточный прокси, авторизующися на кальмаре.

[alexbalkan]

Промежуточный прокси, авторизующися на кальмаре.

Что это есть такое? Как это работает? Щас схема понятная, squid -> login | pass -> openvpn. Если пароли убрать совсем, тогда как говорится проходной двор. Что мне дает промежуточный прокси?

[fisher74]

Как-то так

[AnrDaemon]

Если пароли убрать совсем, тогда как говорится проходной двор

Ставится ЛОКАЛЬНЫЙ прокси, привязанный к localhost.

[alexbalkan]

Непонятен смысл, кто угодно может подключится? Каким образом аунтификация происходит на прокси. Получается любой может подключится к прокси? или как? Squid стоит для маскировки openvpn. Ок, свою работу сделал, защиту клиент обошел, подключается к openvpn. А так же кто угодно без проблем подключается к проксе, Squid проходной двор. Решение логин пароль, неудачное решение, в IOS где их вбивать? Скорее нужно какое-то другое решение, чтобы между прокси сервером и клиентом был доверительный ключ или сертификат SSL/TLS. Чтобы этот ключ вставить в конфиг клиента openvpn. Посоветуйте пожалуйста.

[AnrDaemon]

Удачи в подключении к чьему угодно локалхосту.

(Нажмите, чтобы показать/скрыть)

[alexbalkan]

Удачи в подключении к чьему угодно локалхосту.

!!! )

[alexbalkan]

Вроде как бы по русски пишу. Наверное можно понять. Вместо логина и пароля можно сделать аунтификацию на кальмаре с помощью ключа или сертификата.

[AnrDaemon]

Попробуйте писать без

Вроде как бы

Тогда не понадобится

Наверное

(Нажмите, чтобы показать/скрыть)

На самом деле проблема не в том, что вы пишете, а в том, что вы не читаете. В предположении, что настройки кальмара вам неподвластны, было предложено использовать локальный прокси, который авторизует вас на кальмаре, и будет доступен только на вашем локальном хосте. Вы начали нести ахинею про проходной двор.

[alexbalkan]

Ок. А каким образом он меня авторизирует? Или вы не поняли меня, или я чего-то вообще не понимаю.

[AnrDaemon]

Последнее. Не он вас автоизует, а он сам авторизуется на сквиде.
А вы просто пройдёте через него.

[alexbalkan]

Привет всем! Большое спасибо за разъяснение. Не всегда получается понять элементарщину огда каша в голове, и не спец. Вот как бы такое решение применил, вроде как бы работает. Вопрос таков, надежен ли мой вариант в плане безопасности?

(Нажмите, чтобы показать/скрыть)

acl localnet src all
acl srv dst 127.0.0.1

acl vpn_ports port 1194
acl SSL_ports port 443

acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 3128
acl Safe_ports port 1194
acl Safe_ports port 25
acl Safe_ports port 465
acl Safe_ports port 110
acl Safe_ports port 143
acl Safe_ports port 993
acl Safe_ports port 995
acl Safe_ports port 587

acl CONNECT method CONNECT

dns_nameservers 8.8.8.8

http_access allow localnet CONNECT srv vpn_ports
http_access allow localnet srv vpn_ports
http_access allow localnet srv

http_access deny all

http_port 443

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

sslproxy_options NO_SSLv2,NO_SSLv3

ssl_bump peek step1
ssl_bump terminate blocked
ssl_bump splice all

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_dir aufs /var/spool/squid 20000 49 256
maximum_object_size 61440 KB
minimum_object_size 3 KB

cache_swap_low 90
cache_swap_high 95
maximum_object_size_in_memory 512 KB
memory_replacement_policy lru
logfile_rotate 4

error_directory /etc/squid/error_pages