URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 6299
[ Назад ]

Исходное сообщение
"pptpd и transparent squid"
Отправлено opalao , 29-Янв-10 11:42

Всем добрый день. Настроил на сервере pptpd с авторизацией через радиус с ad, подключения поднимаются нормально, возникла проблема со сквидом го необходимо сделать прозрачным вот конфиг
http_port 127.0.0.1:3128 transparent
visible_hostname billing
icp_port 0
#mime_table /etc/squid/mime.conf
pid_filename /var/run/squid.pid
acl all src 0.0.0.0/0.0.0.0
acl vpn_user src 192.168.0.0/255.255.0.0
acl 1_adm src 172.20.0.0/255.255.255.0
acl localhost src 127.0.0.1/255.255.255.255
http_access allow vpn_user
http_access allow localhost
http_access allow 1_adm
http_access deny all

и правило в iptables для рдиректа на 3128 порт сквида
iptables -t nat -A PREROUTING -d ! 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128
один сетевой интерфейс
при попытке зайти на любую страничку через веббраузер ничего не получается, tcpdump port 3128 молчит
В чем может быть проблема???

Содержание

pptpd и transparent squid,shadow_alone, 12:12 , 29-Янв-10
- pptpd и transparent squid,opalao, 12:40 , 29-Янв-10
  - pptpd и transparent squid,shadow_alone, 12:47 , 29-Янв-10
    - pptpd и transparent squid,opalao, 04:47 , 01-Фев-10
      - pptpd и transparent squid,opalao, 07:25 , 03-Фев-10

Сообщения в этом обсуждении

"pptpd и transparent squid"
Отправлено shadow_alone , 29-Янв-10 12:12

зачем :
http_port 127.0.0.1:3128 transparent

просто
http_port 3128 transparent
я что-то непонял, почему если у вас - acl vpn_user src 192.168.0.0/255.255.0.0
вы пишите
iptables -t nat -A PREROUTING -d ! 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128
должно быть
-A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128

"pptpd и transparent squid"
Отправлено opalao , 29-Янв-10 12:40

>[оверквотинг удален]
>
http_port 3128 transparent

>
>я что-то непонял, почему если у вас - acl vpn_user src
>192.168.0.0/255.255.0.0
>вы пишите
>
iptables -t nat -A PREROUTING -d ! 192.168.0.0/16 -p tcp --dport 80
>-j REDIRECT --to-port 3128

>должно быть
>
-A PREROUTING -s 192.168.0.0/16 -p tcp --dport 80 -j REDIRECT --to-port 3128

>
пробовал и так http_port 3128 transparent эффект тот же
а в правили я просто все запросы приходящие с любых айпи кроме тех которых идут в локальную сеть редиректю на 3128

"pptpd и transparent squid"
Отправлено shadow_alone , 29-Янв-10 12:47

а если прописываешь проски на клиенте работает или нет?

"pptpd и transparent squid"
Отправлено opalao , 01-Фев-10 04:47

>а если прописываешь проски на клиенте работает или нет?
В общем совсем запутался, прописываю на клиенте проксю вручную ничего не пашет ну когда смотрю tcpdump на 3128 порту на eth0 пакеты идут только они идут не с vpn айпи (192.168.0.0/24) а с моего физического. Когда на прямую в клиенте не указываю проксю то tcpdump на 3128 на eth0 ничего не показывает, а если посмотреть на ppp0 то какието пакеты идут

"pptpd и transparent squid"
Отправлено opalao , 03-Фев-10 07:25

>>а если прописываешь проски на клиенте работает или нет?
>
>В общем совсем запутался, прописываю на клиенте проксю вручную ничего не пашет
>ну когда смотрю tcpdump на 3128 порту на eth0 пакеты идут
>только они идут не с vpn айпи (192.168.0.0/24) а с
>моего физического. Когда на прямую в клиенте не указываю проксю то
>tcpdump на 3128 на eth0 ничего не показывает, а если посмотреть
>на ppp0 то какието пакеты идут
Если на серваке выключаю сквид и делаю stnat всех пакетов идущих с vpn подключения идущих с сервера, то все работает нормально. Куда копать дальше не пойму