прозрачный прокси (squid) через openvpn

[Sharabdin]

Подключаюсь на клиентской машине по openvpn на сервер 10.1.14.18 (openvpn на интерфейсе eth1) выдает айпи  клиенту 119.119.119.6 а сервер должен завернуть прокси на сеть 119.119.119.0 т.е сделать прозрачный прокси в openvpn  на канале tun0

вот мои настройки сети

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface

        
#dns-search rcdo.school.test
          
auto eth1 #Провайдер по которому соеденяюсь по vpn
iface eth1 inet static
address 10.1.14.18
netmask 255.255.255.0
broadcast 10.1.14.0
#gateway 10.1.14.1
up route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.1.14.1
#dns-nameserver 10.10.1.3

auto eth2 # Внутреняя сеть
iface eth2 inet static
address 192.168.37.1
netmask 255.255.255.0
#broadcast 192.168.1.255
#gateway 10.1.14.1
up route add -net 192.168.37.0 netmask 255.255.255.0 gw 192.168.37.1
#dns-nameserver 192.168.37.1

auto ppp0 # VPN соеденения  по eth1
iface ppp0 inet ppp
provider mt

заварачиваю при помощи iptables

iptables -t nat -A PREROUTING -i tun0 ! -d 119.119.119.0 -p tcp -m multiport --dport 80,8080 -j DNAT --to 119.119.119.1:3128

пишет ошибку в браузере;

(Нажмите, чтобы показать/скрыть)

ERROR
The requested URL could not be retrieved

Invalid Request error was encountered while trying to process the request:

    GET /pages/ru/gigiena/squidguard.php HTTP/1.1
    Host: linuxforchildren.com
    User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7
    Keep-Alive: 115
    Connection: keep-alive
    Referer: http://yandex.ru/yandsearch?text=squidguard+%D0%B4%D0%BB%D1%8F+%D0%B4%D0%B5%D1%82%D0%B5%D0%B9&lr=28
    Cookie: __utma=65942451.1330573048.1308681486.1308753168.1308755000.5; __utmz=65942451.1308757555.5.7.utmcsr=yandex|utmccn=(organic)|utmcmd=organic|utmctr=squidguard%20%D0%B4%D0%BB%D1%8F%20%D0%B4%D0%B5%D1%82%D0%B5%D0%B9; wb_8051_session_id=705fc7b32431b172e10fb44bda3985e4; __utmc=65942451; hotlog=1; __utmb=65942451.3.10.1308755000
    Cache-Control: max-age=0


Some possible problems are:

    Missing or unknown request method.

    Missing URL.

    Missing HTTP Identifier (HTTP/1.0).

    Request is too large.

    Content-Length missing for POST or PUT requests.

    Illegal character in hostname; underscores are not allowed.

    HTTP/1.1 "Expect:" feature is being asked from an HTTP/1.0 software.

Your cache administrator is webmaster.

Generated Wed, 22 Jun 2011 15:45:54 GMT by srcdo.rcdo.school.test (squid/2.7.STABLE9)

вот еще лог сквида что пишет при попытке соеденения

Код: [Выделить]

2011/06/22 19:28:06| storeLateRelease: released 0 objects
2011/06/22 19:45:52| clientTryParseRequest: FD 20 (119.119.119.6:46768) Invalid Request
2011/06/22 19:45:54| clientTryParseRequest: FD 20 (119.119.119.6:39037) Invalid Request


Помогите пожалуйста у сервера Дистрибутив Debian sq
ueeze 64 bit.

[podkovyrsty]

Опишите подробно, что и где у вас стоит и что к чему и как подключается.

[Sharabdin]

Подключаюсь на клиентской машине по openvpn на сервер 10.1.14.18 (openvpn на интерфейсе eth1) выдает айпи  клиенту 119.119.119.6 а сервер должен завернуть прокси на сеть 119.119.119.0 т.е сделать прозрачный прокси в openvpn на канале tun0

[fisher74]

А чё кричитите-то? Мы вроде не слепые.
Если Вы через одно место описываете, то от размера или жирности шрифта понятней не станет.
Сервер должен заворачивать не "прокси на сеть  ...", а "траффик из сети бла-бла-бла на прокси-сервер", как я понял в Вашем случае, локальный прокси.
Покажите пожалуйста на сервере вывод команды "ifconfig -a" и конфиг squid.

[Sharabdin]

Извините просто пытаюсь сделать что то  в голове каша , все запуталось перепуталось да еще сказывается жара =)
вот - ifconfig -a

(Нажмите, чтобы показать/скрыть)

eth0      Link encap:Ethernet  HWaddr 90:e6:ba:d6:f1:ff  
          inet addr:172.16.254.6  Bcast:172.16.254.255  Mask:255.255.255.0
          inet6 addr: fe80::92e6:baff:fed6:f1ff/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:73 errors:0 dropped:0 overruns:0 frame:0
          TX packets:213 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4850 (4.7 KiB)  TX bytes:25496 (24.8 KiB)
          Interrupt:27 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 00:40:f4:80:11:85  
          inet addr:10.1.14.18  Bcast:10.1.14.0  Mask:255.255.255.0
          inet6 addr: fe80::240:f4ff:fe80:1185/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:415087 errors:0 dropped:0 overruns:0 frame:0
          TX packets:431406 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:338502553 (322.8 MiB)  TX bytes:359176378 (342.5 MiB)
          Interrupt:16 Base address:0xc00

eth2      Link encap:Ethernet  HWaddr 20:cf:30:b7:06:1d  
          inet addr:192.168.37.1  Bcast:192.168.37.255  Mask:255.255.255.0
          inet6 addr: fe80::22cf:30ff:feb7:61d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:843 errors:1188 dropped:0 overruns:0 frame:1215
          TX packets:129 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:59923 (58.5 KiB)  TX bytes:19114 (18.6 KiB)
          Interrupt:18 Base address:0xec00

eth3      Link encap:Ethernet  HWaddr 00:1d:60:5c:9f:0c  
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:136 errors:0 dropped:0 overruns:0 frame:0
          TX packets:136 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:12980 (12.6 KiB)  TX bytes:12980 (12.6 KiB)

pan0      Link encap:Ethernet  HWaddr aa:c6:2d:24:6f:af  
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:172.16.19.174  P-t-P:172.16.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1490  Metric:1
          RX packets:236049 errors:0 dropped:0 overruns:0 frame:0
          TX packets:84067 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:317010913 (302.3 MiB)  TX bytes:7208936 (6.8 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:119.119.119.1  P-t-P:119.119.119.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:41842 errors:0 dropped:0 overruns:0 frame:0
          TX packets:59136 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:3614563 (3.4 MiB)  TX bytes:77788652 (74.1 MiB)

прилагает конфиг сквида =)
Пользователь решил продолжить мысль 22 Июня 2011, 21:27:11:и кстати дела не в кальмаре а в самом нате ведь.

[fisher74]

1. Простынку под спойлер уберите
2. squid-у нужно сказать, что он выступает в прозрачном режиме
3. В конфиге также не увидел (хотя может и пропустил) разрешающие acl-ы для клиентов openvpn

P.S. В следующий раз конфиг лучше показывать с помощью вывода

Код: [Выделить]

grep -v ^# /etc/squid*/squid.conf | sed '/^$/d'

[Sharabdin]

3. В конфиге также не увидел (хотя может и пропустил) разрешающие acl-ы для клиентов openvpn

Спасибо большое ,учитываю , а что аслы бывают еще для openvpn?
Пользователь решил продолжить мысль 22 Июня 2011, 21:43:07:просто до того как поменялась сеть я мог делать прозрачный прокси по внутренней сети ,помоему с тем же конфигом .

[fisher74]

я не говорил "для openvpn", я сказал "для КЛИЕНТОВ openvpn" у которых адреса из сети 119.119.119.0/24. В squid я не увидел разрешения для этой сети.

P.S. Пункт 2 предыдущего моего сообщения тоже немаловажен.
P.P.S. Рекомендую настроить сначала прокси-сервер в обычном режиме, а уж потом ему прозрачность придавать.

просто до того как поменялась сеть я мог делать прозрачный прокси по внутренней сети ,помоему с тем же конфигом .

Сомневаюсь, что конфиг был тем же в прозрачном режиме

[Sharabdin]

прокси сервер работает нормально чтот тут еще сказать =) сейчас попробую секцию для сети openvpn добавить отпишусь =)

[fisher74]

прокси сервер работает нормально чтот тут еще сказать =)

Ню-ню
Пользователь решил продолжить мысль 22 Июня 2011, 22:23:47:Про настройку ПРОЗАЧНОГО прокси squid посмотрите здесь, а то до утра будете iptables мучать.

[Sharabdin]

спасибо сейчас посмотрю =)
Пользователь решил продолжить мысль 22 Июня 2011, 23:57:19:ОГРОМНОЕ СПАСИБО ,ОНО РАБОТАЕТ!!!!!
вот что сделал добавил это  http_port 3128 transparent в squid.conf
потом добавил такое правило sudo iptables -t nat -A PREROUTING -i tun0 -d 119.119.119.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 119.119.119.1:3128
и все заработало еще раз большое при большое спасибо за помощь ,надо же а я читал многодневные маны ))) все оказалась в полезной справки Ubuntu  здесь
Спасибо =)

[fisher74]

Только всё-таки не

sudo iptables -t nat -A PREROUTING -i tun0 -d 119.119.119.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 119.119.119.1:3128

а

sudo iptables -t nat -A PREROUTING -i tun0 ! -d 119.119.119.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 119.119.119.1:3128

[Sharabdin]

Только всё-таки не

sudo iptables -t nat -A PREROUTING -i tun0 -d 119.119.119.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 119.119.119.1:3128

а

sudo iptables -t nat -A PREROUTING -i tun0 ! -d 119.119.119.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 119.119.119.1:3128

спасибо ,сейчас переправлю ,но все-таки и так работает =)

[fisher74]

не может оно "и так работает", потому как ОТ клиентов openvpn пакеты не пройдут условия правила. Видимо у Вас отрабатывает по какому-то другому правилу. Покажите

Код: [Выделить]

sudo iptables -t nat -nvL PREROUTING