vtun, poptop, nat, squid

[bsdavod]

Добрый день!
Есть шлюз на FreeBSD 8.1, через который пользователи выходят в инет. Большинство пользователей выходят через Squid, есть горстка VIP - через NAT без ограничений.
Сейчас на этот шлюз навесили VTUN для туннеля между двумя удаленными офисами на FreeBSD и PopTop - для клиентских подключений стандартным Windows VPN клиентом.
Проблема возникла вот какая, независимо подключается ли клиент из под винды к PopTop или устанавливается VTUN соединение, на короткое время Squid выдает ошибку типа доступ к интернету запрещен, обратитесь к системному администратору, через минуту-две все восстанавливается. Когда отключаются от VPN, такая же ситуация. При этом через NAT все работает, т.е. дело не в маршрутах. Каким макаром VPN задевать могут Squid?
Squid стоит Version 3.1.12

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Electronik]

У кого пропадает инет? Те кто по VPN тоже через него сидят, и как поднимается VPN?

[bsdavod]

Инет пропадает в офисе только у тех, кто сидит в инете через Сквид. Те кто в офисе сидят через NAT - норма.
А по VPN ни кто в инете не сидит, это просто удаленные подключения сотрудников к офису. И вот на момент соединения по VPN и отключения, сквид на минуту-две говорит что запрещен инет (точто, что выдает, гляну завтра), потом восстанавливается все.

[bsdavod]

Были сегодня VPN соединения, при этом SQUID опять артачился, в браузере "Доступ запрещен" к сайту, через какое то время само начинает работать. SQUID как слушал внутренний IP и порт, так и продолжает слушать, демон работает все норма. Грешил на то, что SQUID слушает все интерфейсы, ан нет, слушает только один. Т.е. когда появляются tun0 ... tun(n) это ни как не задевает тот интерфейс, который слушает SQUID.
Когда SQUID выдал страничку запрета, отправил мылом на админ майл, вот содержание:

CacheErrorInfo - ERR_ACCESS_DENIED

CacheHost: proxy
ErrPage: ERR_ACCESS_DENIED
Err: [none]
TimeStamp: Mon, 04 Jul 2011 12:27:14 GMT

ClientIP: 192.168.0.111

HTTP Request:
GET / HTTP/1.1
Host: overclockers.ru
Proxy-Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Comodo_Dragon/10.0.0.2 Chrome/10.0.648.204 Safari/534.16
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3
Cookie: __utmz=205614669.1309436007.176.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=HyperSnap; __utma=205614669.1773826511.1280814300.1309436007.1309773723.177; __utmc=205614669

Тоже ни чего такого, просто как будто к сайту overclockers.ru запретили доступ, хотя он есть и через какое то время все работает

[Electronik]

правила Firewall'a или доп.маршруты на сервере не прописываются при поднятии VPN?

[bsdavod]

В том то и дело, что ни каких доп маршрутов ни чего. Хотя сам pptpd - PopTop который, он ведь адреса берет из указанного диапазона при этом я ему выделил пока 8 адресов с 192.168.10.2 по 192.168.10.10. Основная сеть также 192.168.10.0/24. Может PopTop добавляет маршрутик, это гляну, но тогда вопрос почему не отваливается ни чего у тех, которые через нат?

[Electronik]

а чем MPD не устраивает?

[bsdavod]

Да и эта связка в общем стабильно работает, т.е. соединения держит норма и в общем под задачки устраивает.
Кстати маршруты с ERR_ACCESS_DENIED в сквиде все равно не вяжутся, я подходил к юзерам, шлюз, а именно IP проксика, DNS имя проксика - все пингуется, в тот момент когда сквид выдает доступ запрещен.

[bsdavod]

Совсем забыл PopTop данная проблема ни как не касается, что-то со сквидом 100%. Дело в том, что на этом сервере еще есть VTUN - для постоянного соединения двух офисов, работает на интерфейсе tun0. Так вот, если разорвать соединения принудительно, сквид так же выдаст "Доступ запрещен" в бразерах юзерей, после минуты двух, все начинает работать.

[Electronik]

напишите в рассылку, может кто и сталкивался

[bsdavod]

Буду пробовать PPTP в JAIL -е. Возможно такое отделение сервисов как то решит проблему.