Страница 1 из 1
vtun, poptop, nat, squid
Добавлено: 2011-06-30 15:44:12
bsdavod
Добрый день!
Есть шлюз на FreeBSD 8.1, через который пользователи выходят в инет. Большинство пользователей выходят через Squid, есть горстка VIP - через NAT без ограничений.
Сейчас на этот шлюз навесили VTUN для туннеля между двумя удаленными офисами на FreeBSD и PopTop - для клиентских подключений стандартным Windows VPN клиентом.
Проблема возникла вот какая, независимо подключается ли клиент из под винды к PopTop или устанавливается VTUN соединение, на короткое время Squid выдает ошибку типа доступ к интернету запрещен, обратитесь к системному администратору, через минуту-две все восстанавливается. Когда отключаются от VPN, такая же ситуация. При этом через NAT все работает, т.е. дело не в маршрутах. Каким макаром VPN задевать могут Squid?
Squid стоит Version 3.1.12
Re: vtun, poptop, nat, squid
Добавлено: 2011-06-30 18:13:00
Electronik
У кого пропадает инет? Те кто по VPN тоже через него сидят, и как поднимается VPN?
Re: vtun, poptop, nat, squid
Добавлено: 2011-06-30 18:25:14
bsdavod
Инет пропадает в офисе только у тех, кто сидит в инете через Сквид. Те кто в офисе сидят через NAT - норма.
А по VPN ни кто в инете не сидит, это просто удаленные подключения сотрудников к офису. И вот на момент соединения по VPN и отключения, сквид на минуту-две говорит что запрещен инет (точто, что выдает, гляну завтра), потом восстанавливается все.
Re: vtun, poptop, nat, squid
Добавлено: 2011-07-04 15:44:14
bsdavod
Были сегодня VPN соединения, при этом SQUID опять артачился, в браузере "Доступ запрещен" к сайту, через какое то время само начинает работать. SQUID как слушал внутренний IP и порт, так и продолжает слушать, демон работает все норма. Грешил на то, что SQUID слушает все интерфейсы, ан нет, слушает только один. Т.е. когда появляются tun0 ... tun(n) это ни как не задевает тот интерфейс, который слушает SQUID.
Когда SQUID выдал страничку запрета, отправил мылом на админ майл, вот содержание:
CacheErrorInfo - ERR_ACCESS_DENIED
CacheHost: proxy
ErrPage: ERR_ACCESS_DENIED
Err: [none]
TimeStamp: Mon, 04 Jul 2011 12:27:14 GMT
ClientIP: 192.168.0.111
HTTP Request:
GET / HTTP/1.1
Host: overclockers.ru
Proxy-Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Comodo_Dragon/10.0.0.2 Chrome/10.0.648.204 Safari/534.16
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3
Cookie: __utmz=205614669.1309436007.176.5.utmcsr=google|utmccn=(organic)|utmcmd=organic|utmctr=HyperSnap; __utma=205614669.1773826511.1280814300.1309436007.1309773723.177; __utmc=205614669
Тоже ни чего такого, просто как будто к сайту overclockers.ru запретили доступ, хотя он есть и через какое то время все работает
Re: vtun, poptop, nat, squid
Добавлено: 2011-07-04 16:06:19
Electronik
правила Firewall'a или доп.маршруты на сервере не прописываются при поднятии VPN?
Re: vtun, poptop, nat, squid
Добавлено: 2011-07-04 17:44:48
bsdavod
В том то и дело, что ни каких доп маршрутов ни чего. Хотя сам pptpd - PopTop который, он ведь адреса берет из указанного диапазона при этом я ему выделил пока 8 адресов с 192.168.10.2 по 192.168.10.10. Основная сеть также 192.168.10.0/24. Может PopTop добавляет маршрутик, это гляну, но тогда вопрос почему не отваливается ни чего у тех, которые через нат?
Re: vtun, poptop, nat, squid
Добавлено: 2011-07-04 18:00:03
Electronik
а чем MPD не устраивает?
Re: vtun, poptop, nat, squid
Добавлено: 2011-07-04 18:14:09
bsdavod
Да и эта связка в общем стабильно работает, т.е. соединения держит норма и в общем под задачки устраивает.
Кстати маршруты с ERR_ACCESS_DENIED в сквиде все равно не вяжутся, я подходил к юзерам, шлюз, а именно IP проксика, DNS имя проксика - все пингуется, в тот момент когда сквид выдает доступ запрещен.
Re: vtun, poptop, nat, squid
Добавлено: 2011-07-04 18:33:28
bsdavod
Совсем забыл PopTop данная проблема ни как не касается, что-то со сквидом 100%. Дело в том, что на этом сервере еще есть VTUN - для постоянного соединения двух офисов, работает на интерфейсе tun0. Так вот, если разорвать соединения принудительно, сквид так же выдаст "Доступ запрещен" в бразерах юзерей, после минуты двух, все начинает работать.
Re: vtun, poptop, nat, squid
Добавлено: 2011-07-04 19:11:23
Electronik
напишите в рассылку, может кто и сталкивался
Re: vtun, poptop, nat, squid
Добавлено: 2011-07-05 8:37:02
bsdavod
Буду пробовать PPTP в JAIL -е. Возможно такое отделение сервисов как то решит проблему.