PPTP сервер на WAN + Squid + SquidGuard и доступ в интернет в PfSense 2.0
Настройка PPTP сервера и фильтра доступа Squid + SquidGuard были в статьях опубликованных ранее.
http://thin.kiev.ua/router-os/50-pfsense/402--pptp-server-pfsense-20.html
http://thin.kiev.ua/router-os/50-pfsense/530-pfsense-squid.html
http://thin.kiev.ua/router-os/50-pfsense/549-hav.htm
http://thin.kiev.ua/router-os/50-pfsense/533--pfsense-transparent-squid-ip-.htmll
Если вы подняли PPTP сервер на WAN интерфейсе вместе с фильтром Squid + SquidGuard, подключились к PPTP серверу и увидели сообщение:
ОШИБКА
Запрошенный URL не может быть доставлен
Во время доставки URL: http://www.google.com
Произошла следующая ошибка:
Generated Mon, 10 Sep 2012 10:17:10 GMT by steel.lan (squid/2.7.STABLE9) |
Есть три варианта решения:
1. В настройках PPTP клиента убрать галочку
2. Если же вы хотите чтобы клиенты PPTP ходили в интернет через PfSense и прозрачный прокси с фильтром контента, настройте PPTP сервер в диапазоне LAN интерфейса.
пример:
LAN 192.168.0.1/24
DHCP 192.168.0.10-192.168.0.254
PPTP сервер: 192.168.0.50
3. Вариант: Добавлено! при таких настройках фильтр перестает работать! Вариант в процессе тестирования. ( настройка PPTP server в PfSense 2.0)
LAN 192.168.0.1/24
PPTP server 192.168.20.1/24
После настройки PPTP сервера, у вас появится возможность добавить интерфейс OPT1
Добавим OPT1 и присвоим ему IP адрес идентичный PPTP серверу.
Далее настраиваем SQUID
Далее добавим подсеть 192.168.20.0/24 в ACL в SquidGuard
Применим изменения:
После применения изменений, конфигурационный файл должен выглядеть примерно так
# Do not edit manually ! http_port 192.168.0.1:3128 http_port 192.168.20.1:3128 http_port 127.0.0.1:3128 transparent icp_port 0
pid_filename /var/run/squid.pid cache_effective_user proxy cache_effective_group proxy error_directory /usr/local/etc/squid/errors/English icon_directory /usr/local/etc/squid/icons visible_hostname steel.lan cache_mgr
Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра.
access_log /var/squid/log/access.log cache_log /var/squid/log/cache.log cache_store_log none logfile_rotate 30 shutdown_lifetime 3 seconds uri_whitespace strip
cache_mem 8 MB maximum_object_size_in_memory 32 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA cache_dir ufs /var/squid/cache 100 16 256 minimum_object_size 0 KB maximum_object_size 10 KB offline_mode off
# No redirector configured
# Setup some default acls acl all src 0.0.0.0/0.0.0.0 acl localhost src 127.0.0.1/255.255.255.255 acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 1025-65535 acl sslports port 443 563 acl manager proto cache_object acl purge method PURGE acl connect method CONNECT acl dynamic urlpath_regex cgi-bin ? cache deny dynamic http_access allow manager localhost
# Allow external cache managers acl ext_manager_1 src 127.0.0.1 http_access allow manager ext_manager_1 acl ext_manager_2 src 192.168.0.1 http_access allow manager ext_manager_2 acl ext_manager_3 src http_access allow manager ext_manager_3 http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports
# Always allow localhost connections http_access allow localhost
request_body_max_size 0 KB reply_body_max_size 0 deny all delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow all
# Custom options
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf redirector_bypass on redirect_children 3 # Setup allowed acls # Default block all to be sure http_access deny all
|
4. Пропишите в настройках Squid - Bypass proxy for these destination IPs
подсеть которую вы указали в настройках PPTP 192.168.5.0/24
(источник)
Легкой настройки!
ссылка на материал: http://thin.kiev.ua/router-os/50-pfsense/668-pptp-squid-squidguard-pfsense-20.html
|