Выделенный айпишник для локального юзера

[fisher74]

задача: дать юзерам из локальной (!) сети возможность создания vpn-подключения с клиентом\сервером из внешней сети.

Пропустите порт VPN-сервера мимо прокси.
А да... Вы хотите кальмаром траффик резать. Тогда сервер VPN поднимайте по tcp протоколу и гоняйте его через прокси. Клиент OpenVPN умеет работать через прокси, то только по tcp, что логично.

[AnrDaemon]

Мбббррр, начнем с самого начала

Давайте.

есть прокси-сервер раздающий и режущий интернет.

Отлично.

Соответственно две сетевушки, сквид, нат, днс.

Логично.

задача: дать юзерам из локальной (!) сети возможность создания vpn-подключения

Нормально.

с клиентом\сервером из внешней сети.

Так с клиентом или сервером?... Если с клиентом, то, эээ, как? Если с сервером - то с каким?

способ реализации - установка и настройка openVPN

Чё? Занафигом?

(под конец поста уже сам начал сомневаться)

Во-во.

[coolbobah]

задача: дать юзерам из локальной (!) сети возможность создания vpn-подключения с клиентом\сервером из внешней сети.

Пропустите порт VPN-сервера мимо прокси.
А да... Вы хотите кальмаром траффик резать. Тогда сервер VPN поднимайте по tcp протоколу и гоняйте его через прокси. Клиент OpenVPN умеет работать через прокси, то только по tcp, что логично.

Мнэээ, боюсь не понял, настройки локальным юзерам выдать под tcp?

с клиентом\сервером из внешней сети.

Так с клиентом или сервером?... Если с клиентом, то, эээ, как? Если с сервером - то с каким?

Подключаться клиентом (извне) к серверу (в локали).
наоборот запросто.

способ реализации - установка и настройка openVPN

Чё? Занафигом?

Потому что валенок =/
он тут вообще не причем и трогать его не надо. Было. =)
пробрасываю порты и становлюсь счастлив.

Соответственно настройки, которые нужны vpn-серверу в моей локали - это мой же внешний IP-адрес и пробрасываемый порт?
То есть

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A PREROUTING -p tcp --dport 1194 -i p1p1 -j DNAT --to ЛОКАЛЬНЫЙ_IP

и в дальнейшем каждому новому локальному юзеру, жаждущему впн, выдается свой порт?

[AnrDaemon]

Соответственно настройки, которые нужны vpn-серверу в моей локали - это мой же внешний IP-адрес и пробрасываемый порт?
То есть

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A PREROUTING -p tcp --dport 1194 -i p1p1 -j DNAT --to ЛОКАЛЬНЫЙ_IP

и в дальнейшем каждому новому локальному юзеру, жаждущему впн, выдается свой порт?

Вы опять клиентов с серверами путаете.
Определитесь уже один раз - кто у вас в каком направлении коннектится.

[coolbobah]

Соответственно настройки, которые нужны vpn-серверу в моей локали - это мой же внешний IP-адрес и пробрасываемый порт?
То есть

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A PREROUTING -p tcp --dport 1194 -i p1p1 -j DNAT --to ЛОКАЛЬНЫЙ_IP

и в дальнейшем каждому новому локальному юзеру, жаждущему впн, выдается свой порт?

Вы опять клиентов с серверами путаете.
Определитесь уже один раз - кто у вас в каком направлении коннектится.

бррр...
в локальной сети за проксей - сервер. во вне - клиент.
и я объясняю проксе, чтоб трафик на такой то порт засылал на такой то локальный айпишник. Где не прав?

[AnrDaemon]

Если так, то да. Проксе (а точнее, шлюзу, на котором прокся стоит) надо объяснить, куда прокидывать соединения внешних клиентов.
Только я бы на вашем месте объяснил ситуацию с начала, но уже без использования слов, в значении которых вы не уверены (типа "VPN").
Какая стоит задача, которую вам нужно решить?

[coolbobah]

Если так, то да. Проксе (а точнее, шлюзу, на котором прокся стоит) надо объяснить, куда прокидывать соединения внешних клиентов.
Только я бы на вашем месте объяснил ситуацию с начала, но уже без использования слов, в значении которых вы не уверены (типа "VPN").
Какая стоит задача, которую вам нужно решить?

Мгхм.
Что-то вроде бизнес-центра.

Несколько контор, которым нужен доступ в интернет и провайдер, заказанный нами (мной, стало быть).
есть сервер, урезающий трафик для локальных пользователей с помощью Squid'a.
к серверу идет оптоволокно с провайдера (в одну сетевушку), из сервера (через вторую) - в свич и в локаль.

задача: локальный юзер хочет объединиться со своими внешними ресурсами, используя vpn-роутер.

[AnrDaemon]

Выкинуть сквид, настроить нормальный шейпинг, настроить нормальную маршрутизацию. Все проблемы отпадут разом.

[coolbobah]

Выкинуть сквид, настроить нормальный шейпинг, настроить нормальную маршрутизацию. Все проблемы отпадут разом.

Видел я на хабре статейку про настройку htb , понравилась.

Спору нет, предложение хорошее и интересное, однако на имеющейся платформе что можно сделать?

[AnrDaemon]

Я уже сказал, что можно сделать.
Статья по настройке шейпинга есть и тут.
Поймите, сквидом можно резать веб-трафик, но VPN - это не HTTP, тут совсем другие требования к передаче данных.
Плюс, маленькая статистика из собственного опыта: Если система настроено по-взрослому (не важно, сколько с ней человек работает) - мороки с ней будет наамного меньше, чем если вы идёте на компромиссы и выискиваете решения попроще.
У меня с начала года сдохло три жестких диска в моём личном сервере. Первый ещё заставил меня побегать, поскольку я не ожидал такого подвоха и не был готов морально, остальные два ничего кроме пожатия плечами не вызвали. Ну, полетели... ну, дальше что?
mdadm /dev/mdX --add /dev/sdXZ && mdadm /dev/mdX --remove /dev/sdXY
Сдохший диск молотком по куполу и на помойку. Работаем дальше.

[coolbobah]

Я уже сказал, что можно сделать.
Статья по настройке шейпинга есть и тут.
Поймите, сквидом можно резать веб-трафик, но VPN - это не HTTP, тут совсем другие требования к передаче данных.

Тут ситуация такая, что vpn нужен еще вчера.
Хоть как-нибудь заставить все это работать, а самому, никуда не торопясь, спокойно разбираться с грамотной настройкой шейпинга, фаерволом и маршрутизацией.

Плюс, маленькая статистика из собственного опыта: Если система настроено по-взрослому (не важно, сколько с ней человек работает) - мороки с ней будет наамного меньше, чем если вы идёте на компромиссы и выискиваете решения попроще.
У меня с начала года сдохло три жестких диска в моём личном сервере. Первый ещё заставил меня побегать, поскольку я не ожидал такого подвоха и не был готов морально, остальные два ничего кроме пожатия плечами не вызвали. Ну, полетели... ну, дальше что?
mdadm /dev/mdX --add /dev/sdXZ && mdadm /dev/mdX --remove /dev/sdXY
Сдохший диск молотком по куполу и на помойку. Работаем дальше.

А кто бы спорил, но чтобы грамотно настроить, да и быть готовым ко всяким неприятностям, включая фазу луны - надо ж как следует покопаться и потыкать чистыми пальцами в работающие решения.

Если я хоть на каком-то минимальном уровне не понимаю iptables, то дел с другим ПО, абсолютно незнакомым, наворочу еще больше. Нужна временная отсрочка (:

[AnrDaemon]

Если нужно ещё вчера - тогда просто разрешаете маршрутизацию всего кроме веб-трафика. А веб гоняете через кальмара транзитом. Он вам и кеш устроит (наверняка половина офисов вконтактиках да однокласничках сидят безвылазно), и основной трафик порежет, пока настраиваете остальное.

[coolbobah]

Если нужно ещё вчера - тогда просто разрешаете маршрутизацию всего кроме веб-трафика. А веб гоняете через кальмара транзитом. Он вам и кеш устроит (наверняка половина офисов вконтактиках да однокласничках сидят безвылазно), и основной трафик порежет, пока настраиваете остальное.

курю мануалы по iptables всю ночь и все равно не понял =/
если всего, кроме веб - я ж по ssh не залезу.
(сервер находится удаленно. ну оооочень удаленно)
это раз.
второй момент, элементарно флаги не понимаю.
голова ватная уже.
#свистнул дефолтные настройки под маршрутизатор:

(Нажмите, чтобы показать/скрыть)

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -A POSTROUTING -o p1p1 -s 10.0.0.0/24 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

А веб гоняете через кальмара транзитом.

то есть после правил выше, пишем правило для сквида:

(Нажмите, чтобы показать/скрыть)

iptables -t nat -A PREROUTING -i eth1 -d ! 10.0.0.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 10.0.0.1:3128

верно?

p1p1 - внешний
eth1 - локаль

[fisher74]

Офигеть. Оказывается нужен обычный доступ в локалку по VPN. Пипец как ТЗ вывернуто.Только вот я не понял - нафига каждому клиенту свой порт? На один порт всех собрать никак чтоли?

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=107492.0
Опыты надо ставить в виртуалках. Тем более, если машина ну очень удалённая.