SQUID через VPN

[Nagmak]

Здравствуйте
Есть два офиса в каждом из них по серверу на FreeBSD 6.2, между ними организована VPN по mpd через него офис1 открывает доступ в инет для офис2. На офисе2 прокси squid 2.6 чтоб считать трафик и тому подобное + sams. Как можно сделать так чтоб инет в офис2 был по прокси через VPN офис1?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Gamerman]

Так в чем проблема? Прокси видит инет? Если да, то Офис два подключается к прокси и берет с него инет.

[Nagmak]

прокси установлен на офис2, через него сейчас пользователи могут выходить в инет, но инет у них идет минуя офис1. а нужно чтоб шел по VPN.

[Gamerman]

Закрыть канал, который "минуя офис1", пустить все через прокси.

[levantuev]

в Офисе №2 есть основной шлюз: 192.168.0.253
Если на нем настроить клиента pptp на mpd4 и использовать правила:

Код: Выделить всё

divert 8668 ip from 192.168.0.0/24 to any
fwd 192.168.12.1 ip from 192.168.12.2 to any
divert 8668 ip from any to 192.168.12.2

192.168.12.1 - Шлюз PPTP выданный Офису №2
192.168.12.2 - IP выданный по PPTP Офису №2
192.168.0.0/24 - Диапазон локальной сети Офиса №2

То с этими правилами интернет работает через Офис №2, но по технологии указания в качестве основного шлюза 192.168.0.253.

Нужно:
Сделать все так же, только что бы работало по технологии прокси (squid)

Выручайте....

[Gamerman]

Запретить прохождение пакетов с машин сети 192.168.0.0/24 (кроме самого шлюза) на офис1. На шлюзе поставить прокси. Пустить всех только через прокси.

[levantuev]

Это и ежу понятно,

На шлюзе поставить прокси. Пустить всех только через прокси

- вот тут по подробнее

[Gamerman]

Что именно? Как Прокси на шлюз поставить, или как пустить всех на прокси?

[levantuev]

Как заставить прокси ходить через ip выданный vpn сервером т.е через

Код: Выделить всё

ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1496
        inet 192.168.12.2 --> 192.168.12.1 netmask 0xffffffff

[Gamerman]

Не совсем понятно как прокся вообще в инет ходит, но могу предложить варианты.
Если она может ходить в инет разными маршрутами, то запретить не нужные, оставить нужные. Или принудительно указать шлюз.

[levantuev]

Предположим у нас следующая таблица маршрутов:

Код: Выделить всё

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            ws1-0.burnet.ru    UGS         0    69582    xl0
localhost          localhost          UH          0        0    lo0
192.168.0.0        link#1             UC          0        0    xl0
ws1-0.burnet.ru    00:90:27:a2:a2:29  UHLW        2        0    xl0    592
ws5-0.burnet.ru    00:0a:5e:57:54:46  UHLW        1    16465    xl0   1189
ws253-0.burnet.ru  00:0a:5e:57:54:5b  UHLW        1      259    lo0
192.168.12.1       192.168.12.2       UH          0    17035    ng0

Прокси будет автоматически раздавать инет пользователям через

Код: Выделить всё

default            ws1-0.burnet.ru    UGS         0    69582    xl0

а нужно сделать что бы раздавался инет через

Код: Выделить всё

192.168.12.1       192.168.12.2       UH          0    17035    ng0

[Gamerman]

Изменить default -роутер есть возможность?

[levantuev]

Нет т.к vpn сервер находится вне локальной сети соединение проходит с ним через интернет т.е через основной шлюз

[Gamerman]

Если не ошибаюсь, то при установке ВПН через ОпенВПН существует возможность изменять шлюз, при этом все пакеты уходят в ВПН. Может у вас тоже так будет работать?

Если же нет, то оставте отдельный маршрут на сервер ВПН через инет, а на все остальное измените шлюз по умолчанию через впн.

[levantuev]

Хмм... хороший вариант, попробую