SQUID и VipNet Client

[MorZe]

Привет народ, подскажите пожалуйста.
Имеется локальная сеть с контроллером домена на windows 2008 и проксик на Ubuntu (squid)
Уровень знаний по убунту и его сквиду околонулевой
Задача: установить доступ к системе "дело" с машины пользователя ---> для работы этой системы на компьютеры пользователей устанавливается программа VipNet Client.
Так вот проблема в том, что после установки и инициализации VipNet'а он (випнет) не видит, не пингует никакие узлы.
Звонил в техподдержку они копались, копались по тимвьюверу, говорят дело в вашем прокси - он не выпускает.
На мой вопрос "почему рядом в этом кабинете стоит машина с которой все видится и пингуется при точно таких же настройках и через тот же прокси?" -сказали "не знаю"
То есть получается тем кому 100 лет назад ставили эти випнетклиенты - работают нормально, а на новых системных блоках не работает. Поставил на 2 системника эти випнет клиенты, на одном виндовс 8.1 на втором виндовс 7 про, сверил внимательно настройки випнетов у тех у кого работает и у этих. Интернет на всех компах работает. Правда почему-то ни на старых ни на новых рабочих местах не пингуются никакие сайты.

Вопрос 1: правда ли все дело в настройках прокси?
Вопрос 2: если да, то что нужно сделать чтобы випнет увидел нужные узлы?
Вопрос 3: как это сделать?
что пока удалось выяснить:
1. Squid не работает в так называемом прозрачном режиме, так как у всех сотрудников в настройках указан айпи прокси.
2. VipNet Client работает вроде бы порту UDP 55777

Прошу прощения если вопрос глупый и если не в ту ветку спросил. Если какая то дополнительная информация нужна спрашивайте

[Raven]

выхлоп iptables-save покажи
(ток белые ip замаскируй)

[Phantom]

Там геморой с портами. Вроде у меня такая же хрень с этраном была. Там тоже VipNet есть. Если не ошибаюсь надо,чтобы src порт был уникален иначе прокси не знает кому в конечном итоге переслать данные.(хотя должен) Попробуй. Мне помогло. И да. Не толкай этот трафик через прокси, какб бы не для этого он(прокси) создавался. Пропусти его через FORWARD iptables с жестким прописыванием портов.
ЗЫ Вот так вот
VipNet1(src :55777)---->VipNetsrv(dst: 55777);
VipNet2(src :55776)---->VipNetsrv(dst: 55777);

[MorZe]

выхлоп iptables-save покажи
(ток белые ip замаскируй)

набрал "iptables-save"
где теперь его искать этот выхлоп?

[MorZe]

Там геморой с портами. Вроде у меня такая же хрень с этраном была. Там тоже VipNet есть. Если не ошибаюсь надо,чтобы src порт был уникален иначе прокси не знает кому в конечном итоге переслать данные.(хотя должен) Попробуй. Мне помогло. И да. Не толкай этот трафик через прокси, какб бы не для этого он(прокси) создавался. Пропусти его через FORWARD iptables с жестким прописыванием портов.
ЗЫ Вот так вот
VipNet1(src :55777)---->VipNetsrv(dst: 55777);
VipNet2(src :55776)---->VipNetsrv(dst: 55777);

вот что написано в инструкции к випнету:

1. Требования к схеме подключения
При организации подключения на шлюзе, осуществляющем преобразование адресов (NAT), должны быть проведены следующие настройки:
 разрешить прохождение исходящих udp-пакетов по порту 55777, 2046 на адрес Координатора;
 настроить портфорвардинг (перенаправление) входящих udp-пакетов по порту 55777, 2046 с адреса Координатора. Т.е. пакеты udp: 55777 (по умолчанию), приходящие на внешнюю карту Proxy из Интернета, нужно переадресовывать на компьютер в локальной сети с установленным ViPNet (в заголовке таких пакетов нужно изменить destination: IP-адреса внешней карты прокси изменить на IP-адрес компьютера с ViPNet, - и отправить пакет во внутреннюю сеть. При этом порты, указанные в исходном пакете, должны оставаться неизменными).

то что вы сказали это то же самое?

[Phantom]

Само собой разумеется,что если ты настроишь 2го клиента с портом отличным от умолчания,то пробросы так же надо изменить. Пробросы то как, сделаны сейчас?
Вот подскажу как у меня.
eth1 смотрит внутрь сети,eth0 соотв наружу.
192.168.0.2 & 192.168.0.3 соответственно машины использующие VipNET.
Изнутри наружу настройка по маку, в обратную сторону по IP.
Обрати внимание на порты.
для 0.2 порт изменен на 55779.

Код: Выделить всё

-A FORWARD -i eth1 -o eth0 -p udp -m comment --comment VipNETZU -m udp --dport 55777 -m mac --mac-source 20:2S:24:12:D2:51 -j ACCEPT
-A FORWARD -d 192.168.0.2/32 -i eth0 -o eth1 -p udp -m comment --comment VipNETZU -m udp --sport 55777 --dport 55779 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -p udp -m comment --comment VipNETJDC -m udp --dport 55777 -m mac --mac-source 20:E1:23:15:9A:A2 -j ACCEPT
-A FORWARD -d 192.168.0.3/32 -i eth0 -o eth1 -p udp -m comment --comment VipNETJDC -m udp --sport 55777 --dport 55777 -j ACCEPT

[MorZe]

... Пробросы то как, сделаны сейчас?

я не знаю как это посмотреть

Если не ошибаюсь надо,чтобы src порт был уникален иначе прокси не знает кому в конечном итоге переслать данные

в инструкции написано что порты должны оставаться неизменными. Нельзя по айпи адресовать?
вот например у меня адрес машины на которой випнетклиент 10.0.16.35 адрес проксика (внутренний) 10.0.16.26
подскажи что набрать чтобы пробрасывал?

[Phantom]

Ну как видишь у меня они не остались неизменными и все работает. Возможно они мешают друг другу, я не помню как работает VipNET, но когда порт на 2 машине поменял все заработало. Ну дело твоё, тут хозяин барин. По поводу пробросов...придется тебе начать читать. И вот это запомнить.

А читать тут. http://www.opennet.ru/docs/RUS/iptables/#FORWARDCHAIN

[MorZe]

Ну как видишь у меня они не остались неизменными и все работает. Возможно они мешают друг другу, я не помню как работает VipNET, но когда порт на 2 машине поменял все заработало. Ну дело твоё, тут хозяин барин. По поводу пробросов...придется тебе начать читать. И вот это запомнить.
А читать тут. http://www.opennet.ru/docs/RUS/iptables/#FORWARDCHAIN

оой я это долго буду осваивать а сделать надо "вчера"
Подскажи пожалуйста как узнать какой из сетевых интерфейсов eth0, eth1 и eth2 ?
попробую по твоему примеру сделать

[Phantom]

Код: Выделить всё

ip a

Без хотя бы поверхностных знаний теории ты мало чего сделаешь.
Тебе помимо проброса надо настроить маскарад и включить режим форвардинга в sysctl.conf....
У тебя вообще пробросы хоть какие нибудь настроены??? Может до тебя кто уже это настроил?

Код: Выделить всё

iptables -nvL

Вывод этой команды НИКОМУ не показывай.
Посмотри есть ли вообще чего нибудь в ветке FORWARD у тебя? Если есть,то не все так плохо,иначе поднимать целину. Это просто,но ты с нуля....