В общем такая ситуация:
Инет юзаю через проксю, но вот проблема админ закрыл очень много нужных портов(((. ВЫход из этой ситуации был найден с помощью карты скоростного сеансового доступа(через ВПН) Томики. Карта расчитана на 5 м внешки а по томску неограничена.
Задача такая:
Необходимо пустить весь томский трафик через карту, а внешний через проксю
Пробовал через фаервол, но там надо каждый конкретный адрес вписывать. Хотелось бы что нить как в браузерах по доменам чтоб фильтрация ишла, но в тоже время это должен быть файервол.
Всем кто может помочь с этим вопросом заранее спасибо
[snapback]4322[/snapback]
:jjosh:
Firewallы оперируют ip адресами ибо если они еще и резольвить ip адрес каждого пакета будут..... :ujasnah: то загрузки странички в 5 Кб будешь по 30 мин ждать.
Так что единственный вариант вписать адреса сетей -- их не так и много (нужно уточнить у провайдера, какие сети он считает томскими). Сделать скрипт и запускать его после старта VPN. Большинство так и делает, только наоборот, внешку в VPN, а Томск через умолчальный интерфейс.
вообще-то многие виндовые файрволы, оутпост например, смотрят только первый пакет соединения, но здесь файрвол не самый рациональный выход.
[snapback]4335[/snapback]
Возможно... но самый рациональный подход по-сетям.. Есть много доменов зоны tomsk.ru которые хостятся в Москве или других городах и много доменов первого уровня хостится в Томске. Так что на имена доменов особой надежды нет..... <_<
Список точно будет не меньше.....
:jjosh:
Firewallы оперируют ip адресами ибо если они еще и резольвить ip адрес каждого пакета будут..... :ujasnah: то загрузки странички в 5 Кб будешь по 30 мин ждать.
Так что единственный вариант вписать адреса сетей -- их не так и много (нужно уточнить у провайдера, какие сети он считает томскими). Сделать скрипт и запускать его после старта VPN. Большинство так и делает, только наоборот, внешку в VPN, а Томск через умолчальный интерфейс.
[snapback]4330[/snapback]
Если можно то поподробней об этом. Куда вписать адреса подсетей и какой скрипт?
Если можно то поподробней об этом. Куда вписать адреса подсетей и какой скрипт?
[snapback]4340[/snapback]
В таблицу маршрутизации
route add.......
см. доку по route, я в винде не силен........
ну что-то типа route add сеть --net маска gw адрес_vpn_сервера
Предыдущий товарищ дал ссылки, вот их и надо смотреть это я так думаю именно те скрипты. :)
2. настройки-списки-без родительского прокси-прописываем томские сети(файлик с сетями от tomgate.net (http://tomgate.net/files/routetomsk.bat) или ТомскНет (http://www.tomsknet.ru/dear/nets/))
[snapback]4335[/snapback]
как там подсети прописать если там токо ip указывается?
как там подсети прописать если там токо ip указывается?
[snapback]4343[/snapback]
гы, пропустил как то
ну пробуй другие прокси, всяка какой-нибудь, да умеет
гы, пропустил как то
ну пробуй другие прокси, всяка какой-нибудь, да умеет
[snapback]4347[/snapback]
хм... Может есть еще у кого предложения?
up
[snapback]4354[/snapback]
ну что за привычка
хм... Может есть еще у кого предложения?
[snapback]4351[/snapback]
Постаить squid for win ;)
аналогично с предыдущим примером с проксей
родительским прокси устанавливаеш прокси с внешкой
Настройки для файла squid.conf (помимо прочих)
cache_peer [ip_addr_proxy] parent [port] 3130 proxy-only
а для списка томских сетей назначить всегда прямой доступ
acl tomsk_nets dst "full_path/file_tomsk_nets"
always_direct allow tomsk_nets
в файле "file_tomsk_nets" список сетей в виде:
212.192.96.0/19
212.192.163.0/24
213.59.236.0/23
213.183.96.0/19
213.210.64.0/18
217.18.128.0/19
217.29.80.0/20
....
Постаить squid for win ;)
аналогично с предыдущим примером с проксей
родительским прокси устанавливаеш прокси с внешкой
Настройки для файла squid.conf (помимо прочих)
cache_peer [ip_addr_proxy] parent [port] 3130 proxy-only
а для списка томских сетей назначить всегда прямой доступ
acl tomsk_nets dst "full_path/file_tomsk_nets"
always_direct allow tomsk_nets
в файле "file_tomsk_nets" список сетей в виде:
212.192.96.0/19
212.192.163.0/24
213.59.236.0/23
213.183.96.0/19
213.210.64.0/18
217.18.128.0/19
217.29.80.0/20
....
[snapback]4359[/snapback]
попробую....
попробую....
[snapback]4360[/snapback]
Есть одна мааааленькая проблема, томский траффик еще в VPN надо заворачивать...
Смотреть в направлении опции tcp_outgoing_address
Есть одна мааааленькая проблема, томский траффик еще в VPN надо заворачивать...
Смотреть в направлении опции tcp_outgoing_address
[snapback]4373[/snapback]
По умолчанию при установке VPN соединения в win (PPTP) весь трафик идет в VPN :) и тот что направлен на прокси тоже :)
Получится что весь трафик идет через VPN, но от нашего локального прокси запросы на томские сети будут адресоватся на прямую (от server провайдера пойдут к IP назначения), а внешний пойдет также от vpn servera провайдера но уже к родительскому прокси (для провайдера это будет томским трафиком)
на картинке галочка которая "в ответе" за "весь трафик"
[attachmentid=18]
p.s. Признаю, tcp_outgoing_address более правильный вариант.
я ранее не обращал на это внимания внимания B)
По умолчанию при установке VPN соединения в win (PPTP) весь трафик идет в VPN :) и тот что направлен на прокси тоже :)
Получится что весь трафик идет через VPN, но от нашего локального прокси запросы на томские сети будут адресоватся на прямую (от server провайдера пойдут к IP назначения), а внешний пойдет также от vpn servera провайдера но уже к родительскому прокси (для провайдера это будет томским трафиком)
на картинке галочка которая "в ответе" за "весь трафик"
[attachmentid=18]
p.s. Признаю, tcp_outgoing_address более правильный вариант.
я ранее не обращал на это внимания внимания B)
[snapback]4386[/snapback]
Хм... а я на самом деле забыл указать на эту проблему.... В винде я тоже дооолго искал как сделать чтобы VPN не устанавливал шлюз по умолчанию.... :(
По умолчанию при установке VPN соединения в win (PPTP) весь трафик идет в VPN :) и тот что направлен на прокси тоже :)
Получится что весь трафик идет через VPN, но от нашего локального прокси запросы на томские сети будут адресоватся на прямую (от server провайдера пойдут к IP назначения), а внешний пойдет также от vpn servera провайдера но уже к родительскому прокси (для провайдера это будет томским трафиком)
на картинке галочка которая "в ответе" за "весь трафик"
[attachmentid=18]
p.s. Признаю, tcp_outgoing_address более правильный вариант.
я ранее не обращал на это внимания внимания B)
[snapback]4386[/snapback]
т.е. при установке этой галки весь трафик у меня пойдет через проксю, а там где через нее соединится не сможет пойдет через впн?
В таблицу маршрутизации
route add.......
см. доку по route, я в винде не силен........
ну что-то типа route add сеть --net маска gw адрес_vpn_сервера
Предыдущий товарищ дал ссылки, вот их и надо смотреть это я так думаю именно те скрипты. :)
[snapback]4342[/snapback]
я уже как-то писАл тут о том как автоматизировать это дело под виндой: bgp2route (http://sysadmin.tomsk.ru/index.php?showtopic=307&hl=)
в общем эта тулза полностью решает озвученную проблему, да и писалось это как раз для таких целей. надавно я её слегка поправил, чтоб ей можно было скормить не только BGP таблицу и обозвал ее соответственно nets2toute. тулза в аттаче.
P.S. набор батников подразумает что wget уже установлен ;)
т.е. при установке этой галки весь трафик у меня пойдет через проксю, а там где через нее соединится не сможет пойдет через впн?
[snapback]4400[/snapback]
Эта галка включена по умолчанию, и когда она включена весь трафик пойдет в VPN, а вот после выхода из "VPN туннеля" уже пойдет дальше.
А куда именно, это уже как направит наш локальный прокси, если адрес входит в томские сети, тогда напрямую адресату, если не входит в список томских сетей тогда неправляется на родительский прокси
(в данном случае разруливание в томск или на прокси осуществляет наш локальный прокси)
вообще и такая схема должна работать
но как замечено demiurg желательно трафик на родительский прокси перенаправлять мимо VPN - напрямую.