Выделенный айпишник для локального юзера

[coolbobah]

Добрый день.
Имеем следующую схему:

провайдер > наш прокси сервер + сквид > локальная сеть

Надо сделать юзеру из локальной сети свой личный внешний айпишник, но еще и таким образом, чтобы его трафик резался сквидом. Возможность взять у провайдера второй IP есть.
Вопрос в реализации. Чего-где-куда рыть.
В гугле порылся, но, видать, плохо, ибо ничего не нашел. Помогите уж. (:
заранее спасибо

[fisher74]

А какова конечная цель? Может Вы неправильно ТЗ "оформили"?

[coolbobah]

А какова конечная цель? Может Вы неправильно ТЗ "оформили"?

Конечная цель - создание VPN туннеля между локальным компом и внешним филиалом (?).
И собственно ничего же страшного, поставил бы себе спокойно опенвпн, поднял-настроил маршрутизацию и забыл бы.

Но нет. Локальных юзеров это не устраивает - раз. И два - у них какой то хитрый роутер стоит, которому только выделенный айпишник вынь да положь.
(абцаз выше - слова сисадмина конторы из локали)

на тему Iptables толкового нагуглить не смог.
Да, проброс портов есть. Но мне же целиком надо.
То есть ТЗ можно переформулировать как:
Необходимо сделать, чтобы локальному IP соответствовал IP внешней сети

тыкните носом, где гуглить.
это можно сделать уже имеющимися средствами или некими нативными пакетами?
Чутье подсказывает, что все таки это решается путем маршрутизации на самом прокси-сервере.

[fisher74]

Понятно, ТЗ изувечена скудностью знаний. Вопросы с VPN решаются на много проще, тем более OpenVPN. Ему от бнлого ипа нужен только один udp-порт, который может быть и проброшен (любой роутер это умеет делать, даже недороутер)

Локальных юзеров это не устраивает - раз

Уж локальных-то юзверей вообще не должно парить как построена сеть.

[coolbobah]

Мне на прокси-сервере надо пробросить 1723 порт
и, соответственно, настроить маршрутизацию на openVPN

Я все правильно понял?

[fisher74]

Подозрительный порт Вы хотите заюзать для OpenVPN, но вектор действий правильный.

[staso]

(Нажмите, чтобы показать/скрыть)

Локальных юзеров это не устраивает - раз

Уж локальных-то юзверей вообще не должно парить как построена сеть.

Много + за. Негоже юзверю лечить админа как сеть строить.

[coolbobah]

Подозрительный порт Вы хотите заюзать для OpenVPN, но вектор действий правильный.

Следуя этой статье:
https://help.ubuntu.ru/wiki/%D1%80%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%BE_%D0%BF%D0%BE_ubuntu_server/%D1%87%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B8/openvpn?s[]=openvpn
Появилось сразу несколько вопросов.
Сертификаты с моего сервера для клиента\сервера openVPN не нужны?
И пойдет ли адекватно трафик с фильтрацией через сквид?

(Нажмите, чтобы показать/скрыть)

Локальных юзеров это не устраивает - раз

Уж локальных-то юзверей вообще не должно парить как построена сеть.

Много + за. Негоже юзверю лечить админа как сеть строить.

Ну, как никсовый админ, надо признать, я ох, как слабоват, а умных людей слушать полезно =)

[fisher74]

Сертификаты с моего сервера для клиента\сервера openVPN не нужны?

А Вы правда по этой статье идёте? Там же чётко написано как поступить с сертификатами

Скопируйте ключи клиента и сертификат центра сертификатов

Ну, как никсовый админ, надо признать, я ох, как слабоват,

При чём тут никсовый или вендовый? Сетевая конфигурация пользователей не должны парить вообще никаким боком.
Мало того, информация по конфигурации сети должна быть закрыта и является одним из важнейших охраняемых пунктов по информационной безопасности. И не важно на базе чего она построена: Windows, никсы во всех своих проявлениях (линукс, юникс, иос, санос,...). Это информация только для админов сети. ВСЁ.

[coolbobah]

Мгхм, заранее извиняюсь, я, видимо, валенок.

Сертификаты с моего сервера для клиента\сервера openVPN не нужны?

А Вы правда по этой статье идёте? Там же чётко написано как поступить с сертификатами

Скопируйте ключи клиента и сертификат центра сертификатов

То есть без моего вмешательства клиенты (в физическом смысле, то есть люди-клиенты-нашей-сети) не смогут наладить vpn-подключение?

Итак. поднят OpenVPN на моем прокси-сервере

Уважаемый fisher74, я совсем заплутал, давайте, как для дибилов (:
есть сетевуха, смотрящая в провайдера 46.*.*.*
есть сетевуха, смотрящая в локаль 10.0.0.0
есть tun0 (интерфейс openVPN), 172.168.0.1 Который слушает 1194 порт на интерфейсе 46.*.*.* ()

далее.
есть VPN_клиент в интернете, скажем 150.*.*.*
есть VPN_сервер в моей локали, скажем 10.0.0.5

мои действия:
я выдаю настройки подключения локальному юзеру, как:

(Нажмите, чтобы показать/скрыть)

ip 172.168.0.5
netmask 255.255.255.0
gw\dns 172.168.0.1

я говорю VPN_клиенту (150.*.*.), что бы бился на 46.*.*.*
у себя на сервере прописываю в ../openvpn/server.conf
push "route 172.168.0.0 255.255.0.0"

иии... и все равно нет понимания, как это работает =(
Кому, куда, какие ключи скопировать?
Сгенерированные мной клиентские ключи - клиенту. Тогда локальному серверу что?

P.S. А если все еще круче, наши локальные юзеры используют не openVPN, а нечто другое, то?

[fisher74]

Отредактируйте /etc/openvpn/server.conf и убедитесь что следующие строки указывают на сертификаты и ключи, которые мы создали в предыдущем разделе.
ca ca.crt
cert myservername.crt
key myservername.key
dh dh1024.pem
Это тот минимум, который вы должны настроить, чтобы получить работающий OpenVPN сервер.

По моему вполне внятно написано.

Я боюсь меня накажут за копипаст инструкции из-за того, что Вы просто невнимательно читаете.

[coolbobah]

Отредактируйте /etc/openvpn/server.conf и убедитесь что следующие строки указывают на сертификаты и ключи, которые мы создали в предыдущем разделе.
ca ca.crt
cert myservername.crt
key myservername.key
dh dh1024.pem
Это тот минимум, который вы должны настроить, чтобы получить работающий OpenVPN сервер.

По моему вполне внятно написано.

Я боюсь меня накажут за копипаст инструкции из-за того, что Вы просто невнимательно читаете.

с vpn сервером то мне все понятно. Работает на загляденье, логи красивые, ровные.

Мне не понятно, каким образом будет (и будет ли) функционировать vpn-сервер во внутренней сети. Я то настраиваю сервер, а не локальных юзеров

Пользователь решил продолжить мысль 26 Февраля 2013, 17:22:01:схема сети то выглядит следующим образом:
интернет -> |прокси-сервер| -> локаль (10.0.0.0/8)
на прокси сервере стоит скивд и (!) рабочий openvpn.

суть задачи - дать возможность юзерам из локальной сети поднимать vpn-туннель вовне.
завтык - нет понимания, какие настройки выдать юзерам в локальной сети.

[AnrDaemon]

Вы определитесь, у вас VPN сервер на маршрутизаторе, или внутри сети...

[fisher74]

Да, чёта нестыковочки.
Ну в любом случае, есть ещё одна непонятка: каким образом Вы намечаете через сервер VPN внутри локальной сети раздавать интернет. Я-то знаю как. А Вы как предполагаете?

[coolbobah]

Да, чёта нестыковочки.
Ну в любом случае, есть ещё одна непонятка: каким образом Вы намечаете через сервер VPN внутри локальной сети раздавать интернет. Я-то знаю как. А Вы как предполагаете?

Да, чёта нестыковочки.
Ну в любом случае, есть ещё одна непонятка: каким образом Вы намечаете через сервер VPN внутри локальной сети раздавать интернет. Я-то знаю как. А Вы как предполагаете?

Мбббррр, начнем с самого начала

есть прокси-сервер раздающий и режущий интернет. Соответственно две сетевушки, сквид, нат, днс.

задача: дать юзерам из локальной (!) сети возможность создания vpn-подключения с клиентом\сервером из внешней сети.

способ реализации - установка и настройка openVPN
(под конец поста уже сам начал сомневаться)