SQUID и VipNet Client

Вопросы связанные с сетями, их настройкой и работой...
MorZe
Юзер
Юзер
Posts: 8
Joined: 24 Mar 2015, 16:35
ОС: Windows&linux

Re: SQUID и VipNet Client

Post by MorZe » 10 Apr 2015, 10:45

Phantom wrote:

Code: Select all

ip a
Без хотя бы поверхностных знаний теории ты мало чего сделаешь.
Тебе помимо проброса надо настроить маскарад и включить режим форвардинга в sysctl.conf.... *SCRATCH*
У тебя вообще пробросы хоть какие нибудь настроены??? Может до тебя кто уже это настроил?

Code: Select all

iptables -nvL
Вывод этой команды НИКОМУ не показывай.
Посмотри есть ли вообще чего нибудь в ветке FORWARD у тебя? Если есть,то не все так плохо,иначе поднимать целину. Это просто,но ты с нуля....

спасибо! знаю теперь какой интерфейс где. То есть если сделать форвардинг с внешнего интерфейса на адрес где випнет клиент то этого не достаточно будет?
блин уже склоняюсь к тому чтобы настроить на виндовсе прокси и не мучать вас и себя :-(
iptables -nvL не доверяет мне, говорит "....acces denied, you must be root"
User avatar
Phantom
Эникейщик
Эникейщик
Posts: 266
Joined: 18 May 2012, 16:34
ОС: ARCH Linux
Location: Брянск
Contact:

Re: SQUID и VipNet Client

Post by Phantom » 10 Apr 2015, 14:03

Перейти на Windows? А перед внуками стыдно не будет? :)
По поводу root. Все нормально. Смотри так. Пароль твой собственный. Я надеюсь ты в судоерах....

Code: Select all

sudo iptables -nvL
Вводишь пароль по которому входил в систему и видишь результат.
Далее. Форвардинг подразумевает трафик в оба направления,то есть ты послал запрос на соединение серверу наружу и вполне логично,что ответ должен корректно доити назад. Я выше указал полную цепочку. То есть путь для трафика в обратную сторону должен быть обеспечен.
Давай я сделаю проще. Я опишу конфиг полность как это сделать для одной машины, ты попробуешь и если заработает сделаешь для второй сам. Идет?
З.Ы Даже слабо настроенный сервер linux надежнее,чем хорошо настроенный windows. *DANCE*
З.З.Ы И забудь про проксирование тоннелей. Ненадежно и чересчур толсто.
01010000011010000110000101101110011101000110111101101101
User avatar
Phantom
Эникейщик
Эникейщик
Posts: 266
Joined: 18 May 2012, 16:34
ОС: ARCH Linux
Location: Брянск
Contact:

Re: SQUID и VipNet Client

Post by Phantom » 10 Apr 2015, 14:55

Так уж и быть распишу для 2х машин...
Команды для работы с редактором nano...это справка

Code: Select all

Ctrl+O потом Enter Сохранение изменений
Ctrl+X потом Enter Выход из редактора
ВАЖНО! Перед этими настройками проконтролируй,что в FORWARD у тебя нет правил и политика по умолчанию ACCEPT.

Code: Select all

sudo nano -w /etc/sysctl.conf
Найди строку и приведи её к виду

Code: Select all

net.ipv4.ip_forward = 1
Далее примени изменения.

Code: Select all

sudo sysctl -p
Теперь, поскольку у тебя внутри сети скорее всего динамика включим маскарад. Эта функция подменит IP внутренней сети адресом внешнего интерфейса и развернет назад,когда придет ответ. В "простонародии" эта технология зовется NAT.

Code: Select all

sudo iptables -A POSTROUTING -j MASQUERADE
Имей ввиду следующее, что включение подобного позволит ЛЮБОМУ пользователю твоей сети бегать в интернет без прокси. Это неправильно,но так надо на данном этапе. Дальнейшими настройками отсекаем всю сеть,кроме тех кого мы хотим выпустить подобным образом наружу.
eth0 внешка
eth1 внутренний интерфейс

Code: Select all

Для начала разрешаем пинг через форвард. Это нужно,когда если будет сбоить прокси, да и не только он, можно было проверить наличие доступа наружу с любой машины внутренней сети.
iptables -I FORWARD 1 -i eth1 -o eth0 -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec --limit-burst 6 -m length --length 0:90 -j ACCEPT 
sudo iptables -I FORWARD 2 -i eth1 -o eth0 -p udp -m comment --comment <тут впишешь комментарий>  -m udp --dport 55777 -m mac --mac-source <тут мак машины внутри сети,котрую надо выпустить> -j ACCEPT
sudo iptables -I FORWARD 3 -d <тут IP локального компьютера mac которого указали выше>/32 -i eth0 -o eth1 -p udp -m comment --comment <опять же комментарий> -m udp --sport 55777 --dport 55777 -j ACCEPT
sudo iptables -I FORWARD 4 -i eth1 -o eth0 -p udp -m comment --comment <тут впишешь 2 комментарий>  -m udp --dport 55777 -m mac --mac-source <тут мак машины 2 внутри сети,котрую надо выпустить> -j ACCEPT
sudo iptables -I FORWARD 5 -d <тут IP 2 локального компьютера mac которого указали выше>/32 -i eth0 -o eth1 -p udp -m comment --comment <опять же 2 комментарий> -m udp --sport 55777 --dport 55779 -j ACCEPT
Разрешим ответам на наш пинг так же возвращаться.
sudo iptables -I FORWARD 6 -i eth0 -o eth1 -p icmp -m icmp -m conntrack --ctstate ESTABLISHED -j ACCEPT
Теперь включим для форварда запрещающую политику по умолчанию. После её включения никто из пользователей внутренней сети,кроме явно указанных нами не смогут подобным образом попасть в сеть наружу.

Code: Select all

sudo iptables -P FORWARD DROP
Все. Доступ наружу обеспечен. Теперь ты можешь его проверить.
Во первых проверь как работает NAT. В своей системе отключи настройко описывающую прокси и попробуй пинг какого нибудь интернет ресурса. Он должен быть. Если есть проверь возможность соединения с удаленным сервером.

Code: Select all

telnet <IP адрес удаленного сервера> 55777
Если нет ошибок соединения, то все получилось.
Теперь в настройках VipNET сделай так,чтобы он не знал про прокси. Он по умолчанию стукнется на шлюз,коим у тебя и выступает linux. И на второй машине в тех же настройках укажи порт клиента 55779.
Подключай тоннели.
Далее имей ввиду,что тебе необходимо сохранить правила иначе при перезагрузке все будет сброшено по умолчанию.

Code: Select all

sudo iptables-save >/root/iptables.save
Теперь надо заставить этот набор правил загружаться после того,как поднялся интерфейс. Я уж не знаю в динамике интерфейсы у тебя или в статике,но есть общий способ. В убунту есть фаил из которого загружается все скрипты и комманды,которые там прописаны.

Code: Select all

sudo nano -w  /etc/rc.local
Туда до exit вписываешь следующее

Code: Select all

# start forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
##ipv4 filter apply
iptables-restore /root/iptables.save
Делаешь перезапуск системы и проверяешь наличие введённых тобой правил коммандой

Code: Select all

sudo iptables -nvL
Если они там есть, и клиенты соединяются с сервером, значит все готово.
З.Ы А по VipNET никаких затыков с лицензиями или ещё чем нибудь нет? Надеюсь нет и проблема именно в соединении. Кстати если проблема останется, теперь уже ничто не блокирует твои тоннели. Для техподдержки...
Дерзай. Тут более чем.
01010000011010000110000101101110011101000110111101101101
MorZe
Юзер
Юзер
Posts: 8
Joined: 24 Mar 2015, 16:35
ОС: Windows&linux

Re: SQUID и VipNet Client

Post by MorZe » 10 Apr 2015, 17:14

ого :-O
вот это написал так написал, даже я пойму наверно *BRAVO*
*WRITE*
Да я понимаю что линукс рулит и все такое, но просто впервые с ним столкнулся
Сегодня уже не успею попробовать все это, в понедельник буду.

Скажи номер кошелька свой или карты-отблагодарю ;)
User avatar
Phantom
Эникейщик
Эникейщик
Posts: 266
Joined: 18 May 2012, 16:34
ОС: ARCH Linux
Location: Брянск
Contact:

Re: SQUID и VipNet Client

Post by Phantom » 10 Apr 2015, 18:35

Мне достаточно будет новости,что все заработало. :) Когда то и я так застревал.
01010000011010000110000101101110011101000110111101101101
MorZe
Юзер
Юзер
Posts: 8
Joined: 24 Mar 2015, 16:35
ОС: Windows&linux

Re: SQUID и VipNet Client

Post by MorZe » 23 Apr 2015, 13:43

Проблема решилась прописанием двух статических маршрутов на машинах с випнетклиентом *COOL*
User avatar
turbinaodin
Юзер
Юзер
Posts: 1
Joined: 27 Aug 2019, 10:31

SQUID и VipNet Client

Post by turbinaodin » 27 Aug 2019, 10:48

здравствуйте хотел бы узнать кто нибудь может подробнее рассказать про настройки либо ссылку!если статья еще актуальна.
Особо интересно что нужно прописывать на машине с vipnet ?
Post Reply