[Sysadmins] Вопрос по Squid + PPTP туннель.

[Sysadmins] Вопрос по Squid + PPTP туннель.

[Vyacheslav A. Brunev]

Доброго времени суток уважаемые!

Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а 
выпускать авторизовавшихся клиентов через другой IP (ppp0).

Есть сервер с двумя интерфейсами и PPTP туннелем:
eth0 -  82.110.110.110/24 (к ISP т.е. реальная адресация, но "внешка" закрыта)
gw eth0=82.110.110.1

eth1 - 172.27.1.0/24 (LAN  т.е. "фэйковая" сеть);

ppp0 - 10.10.10.210/32 (туннель к другому провайдеру уже с внешкой НО! в 6 раз 
медленней).

На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи получают 
настройки сети автоматически (DHCP).
Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через 
ppp0. Соответственно те кто не авторизировался (или вообще не знает о такой 
возможности) из LAN продолжали работать через шлюз eth0.

Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с 
помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз 
медленней чем через eth0 и работать тем кому по долгу службы не 
нужна "внешка" становиться совсем невозможно. 

Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно же 
ICQ :)

Вывод ifconfig:

eth0      Link encap:Ethernet  HWaddr 00:0D:45:47:3F:66
          inet addr:82.110.110.110  Bcast:82.110.110.255  Mask:255.255.255.0
          inet6 addr: fe80::20d:88ff:fe4e:3f45/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41434691 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19995481 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:819168296 (781.2 Mb)  TX bytes:2675702125 (2551.7 Mb)
          Interrupt:11 Base address:0xa000

eth1      Link encap:Ethernet  HWaddr 00:03:21:9B:3C:76
          inet addr:172.27.1.1  Bcast:172.27.1.255  Mask:255.255.255.0
          inet6 addr: fe80::203:47ff:fe9b:6c76/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18418576 errors:0 dropped:0 overruns:170 frame:170
          TX packets:28431934 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2647241331 (2524.6 Mb)  TX bytes:2823498391 (2692.6 Mb)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:24 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1688 (1.6 Kb)  TX bytes:1688 (1.6 Kb)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.10.10.210  P-t-P:10.0.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1440  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:42 (42.0 b)  TX bytes:48 (48.0 b)

Вывод route -n:

Kernel IP routing table
Destination     	Gateway         	Genmask         Flags Metric Ref    UseIface
10.0.0.1			0.0.0.0         		255.255.255.255 		UH    	0      0        0 ppp0
202.29.88.250	82.110.110.1		255.255.255.255 		UGH 	0      0        0 eth0
172.27.1.0		0.0.0.0   		 	255.255.255.0   		U	     	0      0        0 eth1
82.110.110.0		0.0.0.0			255.255.255.0   		U 		0      0        0 eth0
127.0.0.0		0.0.0.0			255.0.0.0       			U     		0      0        0 lo
0.0.0.0			82.110.110.1		0.0.0.0    	     		UG    	0      0        0 eth0

P.S. Пробовал в конфиге Squid-а указывать:

#/etc/squid/squid.conf

http_port 82.110.110.110:3128
....
....
acl proxy_users proxy_auth REQUIRED
tcp_outgoing_address 10.10.10.210 proxy_users
http_access allow proxy_users
http_access deny all
.... 

Авторизация проходит нормально, но интернета нет никакого даже при полностью 
выключенном iptables :(

-- 
С уважением, Вячеслав.

Re: [Sysadmins] Вопрос по Squid + PPTP туннель.

[Gosha]

Hi!

Vyacheslav A. Brunev пишет:

> Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а 
> выпускать авторизовавшихся клиентов через другой IP (ppp0).
....
> P.S. Пробовал в конфиге Squid-а указывать:
> 
> #/etc/squid/squid.conf
> 
> http_port 82.110.110.110:3128
> ....
> ....
> acl proxy_users proxy_auth REQUIRED
> tcp_outgoing_address 10.10.10.210 proxy_users
> http_access allow proxy_users
> http_access deny all
> .... 
> 
> Авторизация проходит нормально, но интернета нет никакого даже при полностью 
> выключенном iptables :(

а если так:

acl WORLD dst 0.0.0.0/0.0.0.0
acl proxy_users proxy_auth REQUIRED

http_access allow proxy_users
http_access deny all

tcp_outgoing_address 10.10.10.210 WORLD

;-)

-- 
Best regards!
Gosha

Re: [Sysadmins] Вопрос по Squid + PPTP туннель.

[Vyacheslav A. Brunev]

В сообщении от Thursday 06 March 2008 00:01:32 вы написали:
> Hi!
>
> Vyacheslav A. Brunev пишет:
> > Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP,
> > а выпускать авторизовавшихся клиентов через другой IP (ppp0).
>
> ....
>
> > P.S. Пробовал в конфиге Squid-а указывать:
> >
> > #/etc/squid/squid.conf
> >
> > http_port 82.110.110.110:3128
> > ....
> > ....
> > acl proxy_users proxy_auth REQUIRED
> > tcp_outgoing_address 10.10.10.210 proxy_users
> > http_access allow proxy_users
> > http_access deny all
> > ....
> >
> > Авторизация проходит нормально, но интернета нет никакого даже при
> > полностью выключенном iptables :(
>
> а если так:
>
> acl WORLD dst 0.0.0.0/0.0.0.0
> acl proxy_users proxy_auth REQUIRED
>
> http_access allow proxy_users
> http_access deny all
>
> tcp_outgoing_address 10.10.10.210 WORLD
>
> ;-)

Ровным счетом ничего не меняется, тут проблема как мне видится в том, что шлюз 
(default gw) не меняется, если я его сменю, то LAN пользователи тутже без 
всякой прокси полезут в "глобальный" интернет, но со значительон низкой 
скоростью. Этого я допустить не могу.  Честно говоря я не большой знаток всех 
премудростей команды "route" может есть способ прописания "запасного" 
маршрута "по умолчанию"?

-- 
С уважением, Вячеслав.

Re: [Sysadmins] Вопрос по Squid + PPTP туннель.

[Vyacheslav A. Brunev]

В сообщении от Wednesday 05 March 2008 15:59:26 Vyacheslav A. Brunev 
написал(а):
> Доброго времени суток уважаемые!
>
> Подскажите как Squid-у вежливо объяснить, что работать нужно на одном IP, а
> выпускать авторизовавшихся клиентов через другой IP (ppp0).
>
> Есть сервер с двумя интерфейсами и PPTP туннелем:
> eth0 -  82.110.110.110/24 (к ISP т.е. реальная адресация, но "внешка"
> закрыта) gw eth0=82.110.110.1
>
> eth1 - 172.27.1.0/24 (LAN  т.е. "фэйковая" сеть);
>
> ppp0 - 10.10.10.210/32 (туннель к другому провайдеру уже с внешкой НО! в 6
> раз медленней).
>
> На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи
> получают настройки сети автоматически (DHCP).
> Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через
> ppp0. Соответственно те кто не авторизировался (или вообще не знает о такой
> возможности) из LAN продолжали работать через шлюз eth0.
>
> Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с
> помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз
> медленней чем через eth0 и работать тем кому по долгу службы не
> нужна "внешка" становиться совсем невозможно.
>
> Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно же
> ICQ :)
>
> Вывод ifconfig:
>
> eth0      Link encap:Ethernet  HWaddr 00:0D:45:47:3F:66
>           inet addr:82.110.110.110  Bcast:82.110.110.255 
> Mask:255.255.255.0 inet6 addr: fe80::20d:88ff:fe4e:3f45/64 Scope:Link
>           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>           RX packets:41434691 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:19995481 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:1000
>           RX bytes:819168296 (781.2 Mb)  TX bytes:2675702125 (2551.7 Mb)
>           Interrupt:11 Base address:0xa000
>
> eth1      Link encap:Ethernet  HWaddr 00:03:21:9B:3C:76
>           inet addr:172.27.1.1  Bcast:172.27.1.255  Mask:255.255.255.0
>           inet6 addr: fe80::203:47ff:fe9b:6c76/64 Scope:Link
>           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
>           RX packets:18418576 errors:0 dropped:0 overruns:170 frame:170
>           TX packets:28431934 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:1000
>           RX bytes:2647241331 (2524.6 Mb)  TX bytes:2823498391 (2692.6 Mb)
>
> lo        Link encap:Local Loopback
>           inet addr:127.0.0.1  Mask:255.0.0.0
>           inet6 addr: ::1/128 Scope:Host
>           UP LOOPBACK RUNNING  MTU:16436  Metric:1
>           RX packets:24 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:0
>           RX bytes:1688 (1.6 Kb)  TX bytes:1688 (1.6 Kb)
>
> ppp0      Link encap:Point-to-Point Protocol
>           inet addr:10.10.10.210  P-t-P:10.0.0.1  Mask:255.255.255.255
>           UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1440  Metric:1
>           RX packets:3 errors:0 dropped:0 overruns:0 frame:0
>           TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
>           collisions:0 txqueuelen:3
>           RX bytes:42 (42.0 b)  TX bytes:48 (48.0 b)
>
> Вывод route -n:
>
> Kernel IP routing table
> Destination     	Gateway         	Genmask         Flags Metric Ref   
> UseIface 10.0.0.1			0.0.0.0         		255.255.255.255 		UH    	0      0    
>    0 ppp0 202.29.88.250	82.110.110.1		255.255.255.255 		UGH 	0      0      
>  0 eth0 172.27.1.0		0.0.0.0   		 	255.255.255.0   		U	     	0      0       
> 0 eth1 82.110.110.0		0.0.0.0			255.255.255.0   		U 		0      0        0 eth0
> 127.0.0.0		0.0.0.0			255.0.0.0       			U     		0      0        0 lo
> 0.0.0.0			82.110.110.1		0.0.0.0    	     		UG    	0      0        0 eth0
>
> P.S. Пробовал в конфиге Squid-а указывать:
>
> #/etc/squid/squid.conf
>
> http_port 82.110.110.110:3128
> ....
> ....
> acl proxy_users proxy_auth REQUIRED
> tcp_outgoing_address 10.10.10.210 proxy_users
> http_access allow proxy_users
> http_access deny all
> ....
>
> Авторизация проходит нормально, но интернета нет никакого даже при
> полностью выключенном iptables :(

Поразительно! Либо я один читаю свои письма и нахожусь в полном игноре 
окружающих либо все в "шокирующем" состоянии от постановки вопроса.

-- 
С уважением, Вячеслав.

Re: [Sysadmins] Вопрос по Squid + PPTP туннель.

[Dmitriy Shadrinov]

6 March 2008, Vyacheslav A. Brunev написал(а):
> В сообщении от Wednesday 05 March 2008 15:59:26 Vyacheslav A. Brunev
>
> написал(а):

...

> > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи
> > получают настройки сети автоматически (DHCP).
> > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже через
> > ppp0. Соответственно те кто не авторизировался (или вообще не знает о
> > такой возможности) из LAN продолжали работать через шлюз eth0.
> >
> > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех с
> > помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6 раз
> > медленней чем через eth0 и работать тем кому по долгу службы не
> > нужна "внешка" становиться совсем невозможно.
> >
> > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и конечно
> > же ICQ :)

Если у вас 2 провайдера, то вам потребуются возможности (несколько 
маршрутизационных таблиц), которые предоставляет утилитка ip из пакета 
iproute2 (соответственно, и настройку сети проврдить посредством etcnet). И 
прежде чем настраивать squid, вам нужно разобраться с маршрутизацией.

Во-вторых, вы затронули вопрос достаточно ёмкий, который требует проработки и 
не описали вашей ситуации достаточно детально. Что значит "работать на eth0": 
принимать подключения или делать запросы через него???

Спрашиваейте корректно.

...

> Поразительно! Либо я один читаю свои письма и нахожусь в полном игноре
> окружающих либо все в "шокирующем" состоянии от постановки вопроса.

Re: [Sysadmins] Вопрос по Squid + PPTP туннель.

[Dmitriy Shadrinov]

6 March 2008, Dmitriy Shadrinov написал(а):
> > > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи
> > > получают настройки сети автоматически (DHCP).
> > > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже
> > > через ppp0. Соответственно те кто не авторизировался (или вообще не
> > > знает о такой возможности) из LAN продолжали работать через шлюз eth0.
> > >
> > > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать всех
> > > с помощью самого Squid не подходит т.к. в туннеле PPTP скорость в 4-6
> > > раз медленней чем через eth0 и работать тем кому по долгу службы не
> > > нужна "внешка" становиться совсем невозможно.
> > >
> > > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и
> > > конечно же ICQ :)
>
> Если у вас 2 провайдера, то вам потребуются возможности (несколько
> маршрутизационных таблиц), которые предоставляет утилитка ip из пакета
> iproute2 (соответственно, и настройку сети проврдить посредством etcnet). И
> прежде чем настраивать squid, вам нужно разобраться с маршрутизацией.
>
> Во-вторых, вы затронули вопрос достаточно ёмкий, который требует проработки
> и не описали вашей ситуации достаточно детально. Что значит "работать на
> eth0": принимать подключения или делать запросы через него???

С необходимостью ip я поторопился, но так или иначе они все равно были бы 
полезны; route, ifconfig - это уже устаревшие утилиты.

Прежде всего:
Если внешка у вас доступна только через ppp0 то и настройте основной шлюз 
через него. Определитесь с доступом через первого провайдера (какие подсети 
через него доступны) и пропишите соответствующие маршруты.

Далее ограничте с помощью iptables хождение пакетов. Проверьте 
net.ipv4.ip_forward: sysctl net.ipv4.ip_forward

Если это router, то оно должно быть 1.

Уже после этого можно приступать к Squid.

Re: [Sysadmins] Вопрос по Squid + PPTP туннель.

[Vyacheslav A. Brunev]

В сообщении от Thursday 06 March 2008 16:55:09 Dmitriy Shadrinov написал(а):
> 6 March 2008, Dmitriy Shadrinov написал(а):
> > > > На этом сервере есть DHCP, Squid, iptables... Внутри LAN пользователи
> > > > получают настройки сети автоматически (DHCP).
> > > > Нужно чтобы Сквид работал на eth0, а после авторизации выпускал уже
> > > > через ppp0. Соответственно те кто не авторизировался (или вообще не
> > > > знает о такой возможности) из LAN продолжали работать через шлюз
> > > > eth0.
> > > >
> > > > Сразу оговорюсь, что вариант пускать всех через PPP0 и разруливать
> > > > всех с помощью самого Squid не подходит т.к. в туннеле PPTP скорость
> > > > в 4-6 раз медленней чем через eth0 и работать тем кому по долгу
> > > > службы не нужна "внешка" становиться совсем невозможно.
> > > >
> > > > Внешка нужна для "серфинга", почты, бухгалтерии (банк-клиенты) и
> > > > конечно же ICQ :)
> >
> > Если у вас 2 провайдера, то вам потребуются возможности (несколько
> > маршрутизационных таблиц), которые предоставляет утилитка ip из пакета
> > iproute2 (соответственно, и настройку сети проврдить посредством etcnet).
> > И прежде чем настраивать squid, вам нужно разобраться с маршрутизацией.
> >
> > Во-вторых, вы затронули вопрос достаточно ёмкий, который требует
> > проработки и не описали вашей ситуации достаточно детально. Что значит
> > "работать на eth0": принимать подключения или делать запросы через
> > него???
>
> С необходимостью ip я поторопился, но так или иначе они все равно были бы
> полезны; route, ifconfig - это уже устаревшие утилиты.
>
> Прежде всего:
> Если внешка у вас доступна только через ppp0 то и настройте основной шлюз
> через него. Определитесь с доступом через первого провайдера (какие подсети
> через него доступны) и пропишите соответствующие маршруты.
>
А вот здесь много (для меня) минусов:
1) При таком варианте нужно писать какой-то скрипт, который бы ходил на сайт 
провайдера, забирал оттуда таблицу BGP, интерпретировал в понятный для route 
формат команды, прописывал их и хотя бы раз в месяц запускался.
2) Я в таком случае не представляю как мне нужно извернуться, чтобы клиентам 
без Сквида был недоступен глобальный интернет. Пока на ум приходит только 
это:
iptables -A OUTPUT -p ALL -i ppp0 -j DROP
iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d ! 
127.0.0.1/8 -j ACCEPT
iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d ! 
172.27.1.0/24 -j ACCEPT

А в сквиде стоит:
http_port 82.110.110.110:3128 # IP интерфейса eth0
....
....
acl proxy_users proxy_auth REQUIRED
tcp_outgoing_address 10.10.10.210 proxy_users # IP интерфейса ppp0
http_access allow proxy_users
http_access deny all
....

Зуб не дам, что будет работать, но по другому не знаю как. Подскажите.

> Далее ограничте с помощью iptables хождение пакетов. Проверьте
> net.ipv4.ip_forward: sysctl net.ipv4.ip_forward
>
> Если это router, то оно должно быть 1.
>
Это Router и это уже давно работает.
> Уже после этого можно приступать к Squid.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Мне вот интересно, сейчас у многих подобная ситуация т.е. есть один провайдер 
у которого например очень дорогая "внешка", но есть и другой у которого она 
дешевле или есть анлимит в большинстве случаев предоставляется через VPN. 
Так, что никто ещё не боролся с этой ситуацией - Squid слушает на одном 
интерфейсе (основном), а вот выпускает во "вне" уже через другой - VPN?

-- 
С уважением, Вячеслав.

Re: [Sysadmins] Вопрос по Squid + PPTP туннель.

[Dmitriy Shadrinov]

7 March 2008, Vyacheslav A. Brunev написал(а):

> А вот здесь много (для меня) минусов:
> 1) При таком варианте нужно писать какой-то скрипт, который бы ходил на
> сайт провайдера, забирал оттуда таблицу BGP, интерпретировал в понятный для
> route формат команды, прописывал их и хотя бы раз в месяц запускался.

Тогда вам читать сюда:
http://lartc.org/howto/

Обратите особое внимание:
http://lartc.org/howto/lartc.rpdb.multiple-links.html

> 2) Я в таком случае не представляю как мне нужно извернуться, чтобы
> клиентам без Сквида был недоступен глобальный интернет.

Вы уже извернулись, когда сделали то что, у Вас сейчас :)

> Пока на ум приходит только это:
> iptables -A OUTPUT -p ALL -i ppp0 -j DROP

Предположим, что вместо -i вы хотели написать -o. Тогда...
Вы сначала опредлелитесь что вы хотите получить: если вы хотети что бы VPN у 
вас вообще не работал, тогда просто выключите его.

> iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d !
> 127.0.0.1/8 -j ACCEPT
> iptables -t mangle -A OUTPUT -m owner --uid-owner (ID Squid) -d !
> 172.27.1.0/24 -j ACCEPT

А это еще зачем?
Вам сюда:
http://www.netfilter.org/documentation/index.html#documentation-howto

Re: [Sysadmins] Вопрос по Squid + PPTP туннель.

[Serg Rychka]

On Fri, 7 Mar 2008, Vyacheslav A. Brunev wrote:

>
> Мне вот интересно, сейчас у многих подобная ситуация т.е. есть один провайдер
> у которого например очень дорогая "внешка", но есть и другой у которого она
> дешевле или есть анлимит в большинстве случаев предоставляется через VPN.
> Так, что никто ещё не боролся с этой ситуацией - Squid слушает на одном
> интерфейсе (основном), а вот выпускает во "вне" уже через другой - VPN?
>

Попробуйте echo 0 >/proc/sys/net/ipv4/conf/eth0/rp_filter
(интерфейсы свои поставьте). И что говорит tcpdump на интервейсах


--
С наилучшими пожеланиями,
Рычка Сергей Васильевич,
Донецкий национальный технический университет,
LMC Сетевой академии Cisco ДонНТУ,
Системный/сетевой администратор,
тел. +38 062 3355701, e-mail: rsv@donntu.edu.ua