помогите с настройкой маршрутизации

[Dead_Moroz]

В общем такая ситуация:
Инет юзаю через проксю, но вот проблема админ закрыл очень много нужных портов(((. ВЫход из этой ситуации был найден с помощью карты скоростного сеансового доступа(через ВПН) Томики. Карта расчитана на 5 м внешки а по томску неограничена.
Задача такая:
Необходимо пустить весь томский трафик через карту, а внешний через проксю
Пробовал через фаервол, но там надо каждый конкретный адрес вписывать. Хотелось бы что нить как в браузерах по доменам чтоб фильтрация ишла, но в тоже время это должен быть файервол.

Всем кто может помочь с этим вопросом заранее спасибо

[demiurg]

В общем такая ситуация:
Инет юзаю через проксю, но вот проблема админ закрыл очень много нужных портов(((. ВЫход из этой ситуации был найден с помощью карты скоростного сеансового доступа(через ВПН) Томики. Карта расчитана на 5 м внешки а по томску неограничена.
Задача такая:
Необходимо пустить весь томский трафик через карту, а внешний через проксю
Пробовал через фаервол, но там надо каждый конкретный адрес вписывать. Хотелось бы что нить как в браузерах по доменам чтоб фильтрация ишла, но в тоже время это должен быть файервол.

Всем кто может помочь с этим вопросом заранее спасибо

[snapback]4322[/snapback]

:jjosh:
Firewallы оперируют ip адресами ибо если они еще и резольвить ip адрес каждого пакета будут..... :ujasnah:  то загрузки странички в 5 Кб будешь по 30 мин ждать.
Так что единственный вариант вписать адреса сетей -- их не так и много (нужно уточнить у провайдера, какие сети он считает томскими). Сделать скрипт и запускать его после старта VPN. Большинство так и делает, только наоборот, внешку в VPN, а Томск через умолчальный интерфейс.

[sam]

Firewallы оперируют ip адресами ибо если они еще и резольвить ip адрес каждого пакета будут..... :ujasnah:  то загрузки странички в 5 Кб будешь по 30 мин ждать

вообще-то многие виндовые файрволы, оутпост например, смотрят только первый пакет соединения, но здесь файрвол не самый рациональный выход.
решение вижу в установки у себя прокси, которая бы пускала во внешку через родительский прокси(то есть другой, который эту внешку и дает), а в томские сети без родительского прокси
такое умеет например Cool Proxy:
1. настройки-сеть-использовать род. прокси-адрес род. прокси.
2. настройки-списки-без родительского прокси-прописываем томские сети(файлик с сетями от tomgate.net или ТомскНет)
3. прописываем статические маршруты для томских сетей через гейт томики(в принципе должны сами поставиться при установке впн-соединения), используя тот же файлик от Tomgate.net (вместо %1 ставим ип гейта)
4. если хотим, чтобы во внешку лазил только через прокси, то ставим по умолчанию в маршрутах какой-нибудь локальный ип, который внешку точно не раздает))
вроде все

[demiurg]

вообще-то многие виндовые файрволы, оутпост например, смотрят только первый пакет соединения, но здесь файрвол не самый рациональный выход.

[snapback]4335[/snapback]

Возможно... но самый рациональный подход по-сетям.. Есть много доменов зоны tomsk.ru которые хостятся в Москве или других городах и много доменов первого уровня хостится в Томске. Так что на имена доменов особой надежды нет..... <_<
Список точно будет не меньше.....

[Dead_Moroz]

:jjosh:
Firewallы оперируют ip адресами ибо если они еще и резольвить ip адрес каждого пакета будут..... :ujasnah:  то загрузки странички в 5 Кб будешь по 30 мин ждать.
Так что единственный вариант вписать адреса сетей -- их не так и много (нужно уточнить у провайдера, какие сети он считает томскими). Сделать скрипт и запускать его после старта VPN. Большинство так и делает, только наоборот, внешку в VPN, а Томск через умолчальный интерфейс.

[snapback]4330[/snapback]

Если можно то поподробней об этом. Куда вписать адреса подсетей и какой скрипт?

[demiurg]

Если можно то поподробней об этом. Куда вписать адреса подсетей и какой скрипт?

[snapback]4340[/snapback]

В таблицу маршрутизации

route add.......

см. доку по route, я в винде не силен........
ну что-то типа route add сеть --net маска gw адрес_vpn_сервера

Предыдущий товарищ дал ссылки, вот их и надо смотреть это я так думаю именно те скрипты.

[Dead_Moroz]

2. настройки-списки-без родительского прокси-прописываем томские сети(файлик с сетями от tomgate.net или ТомскНет)

[snapback]4335[/snapback]

как там подсети прописать если там токо ip указывается?

[sam]

как там подсети прописать если там токо ip указывается?

[snapback]4343[/snapback]

гы, пропустил как то
ну пробуй другие прокси, всяка какой-нибудь, да умеет

[Dead_Moroz]

гы, пропустил как то
ну пробуй другие прокси, всяка какой-нибудь, да умеет

[snapback]4347[/snapback]

хм... Может есть еще у кого предложения?

[Dead_Moroz]

up

[sam]

up

[snapback]4354[/snapback]

ну что за привычка

[AlexeyN]

хм... Может есть еще у кого предложения?

[snapback]4351[/snapback]

Постаить squid for win    

аналогично с предыдущим примером с проксей
родительским прокси устанавливаеш прокси с внешкой

Настройки для файла squid.conf (помимо прочих)

cache_peer  [ip_addr_proxy]   parent    [port] 3130  proxy-only

а для списка томских сетей назначить всегда прямой доступ

acl tomsk_nets dst "full_path/file_tomsk_nets"
always_direct allow tomsk_nets


в файле "file_tomsk_nets" список сетей в виде:

212.192.96.0/19
212.192.163.0/24
213.59.236.0/23
213.183.96.0/19
213.210.64.0/18
217.18.128.0/19
217.29.80.0/20
....

[Dead_Moroz]

Постаить squid for win   

аналогично с предыдущим примером с проксей
родительским прокси устанавливаеш прокси с внешкой

Настройки для файла squid.conf (помимо прочих)

cache_peer  [ip_addr_proxy]   parent    [port] 3130  proxy-only

а для списка томских сетей назначить всегда прямой доступ

acl tomsk_nets dst "full_path/file_tomsk_nets"
always_direct allow tomsk_nets


в файле "file_tomsk_nets" список сетей в виде:

212.192.96.0/19
212.192.163.0/24
213.59.236.0/23
213.183.96.0/19
213.210.64.0/18
217.18.128.0/19
217.29.80.0/20
....

[snapback]4359[/snapback]

попробую....

[demiurg]

попробую....

[snapback]4360[/snapback]

Есть одна мааааленькая проблема, томский траффик еще в VPN надо заворачивать...
Смотреть в направлении опции tcp_outgoing_address

[AlexeyN]

Есть одна мааааленькая проблема, томский траффик еще в VPN надо заворачивать...
Смотреть в направлении опции tcp_outgoing_address

[snapback]4373[/snapback]

По умолчанию при установке VPN соединения в win (PPTP) весь трафик идет в VPN и тот что направлен на прокси тоже
Получится что весь трафик идет через VPN, но от нашего локального прокси запросы на томские сети будут адресоватся на прямую (от server провайдера пойдут к IP назначения), а внешний пойдет также от vpn servera провайдера но уже к родительскому прокси (для провайдера это будет томским трафиком)

на картинке галочка которая "в ответе" за "весь трафик"
[attachmentid=18]

p.s. Признаю, tcp_outgoing_address более правильный вариант.
я ранее не обращал на это внимания внимания  B)

[demiurg]

По умолчанию при установке VPN соединения в win (PPTP) весь трафик идет в VPN и тот что направлен на прокси тоже
Получится что весь трафик идет через VPN, но от нашего локального прокси запросы на томские сети будут адресоватся на прямую (от server провайдера пойдут к IP назначения), а внешний пойдет также от vpn servera провайдера но уже к родительскому прокси (для провайдера это будет томским трафиком)

на картинке галочка которая "в ответе" за "весь трафик"
[attachmentid=18]

p.s. Признаю, tcp_outgoing_address более правильный вариант.
я ранее не обращал на это внимания внимания  B)

[snapback]4386[/snapback]

Хм... а я на самом деле забыл указать на эту проблему.... В винде я тоже дооолго искал как сделать чтобы VPN не устанавливал шлюз по умолчанию....

[InFlames]

По умолчанию при установке VPN соединения в win (PPTP) весь трафик идет в VPN и тот что направлен на прокси тоже
Получится что весь трафик идет через VPN, но от нашего локального прокси запросы на томские сети будут адресоватся на прямую (от server провайдера пойдут к IP назначения), а внешний пойдет также от vpn servera провайдера но уже к родительскому прокси (для провайдера это будет томским трафиком)

на картинке галочка которая "в ответе" за "весь трафик"
[attachmentid=18]

p.s. Признаю, tcp_outgoing_address более правильный вариант.
я ранее не обращал на это внимания внимания  B)

[snapback]4386[/snapback]

т.е. при установке этой галки весь трафик у меня пойдет через проксю, а там где через нее соединится не сможет пойдет через впн?

[visual]

В таблицу маршрутизации

route add.......

см. доку по route, я в винде не силен........
ну что-то типа route add сеть --net маска gw адрес_vpn_сервера

Предыдущий товарищ дал ссылки, вот их и надо смотреть это я так думаю именно те скрипты.

[snapback]4342[/snapback]

я уже как-то писАл тут о том как автоматизировать это дело под виндой: bgp2route
в общем эта тулза полностью решает озвученную проблему, да и писалось это как раз для таких целей. надавно я её слегка поправил, чтоб ей можно было скормить не только BGP таблицу и обозвал ее соответственно nets2toute. тулза в аттаче.
P.S. набор батников подразумает что wget уже установлен

[AlexeyN]

т.е. при установке этой галки весь трафик у меня пойдет через проксю, а там где через нее соединится не сможет пойдет через впн?

[snapback]4400[/snapback]

Эта галка включена по умолчанию, и когда она включена весь трафик пойдет в VPN, а вот после выхода из "VPN туннеля" уже пойдет дальше.

А куда именно, это уже как направит наш локальный прокси, если адрес входит в томские сети, тогда напрямую адресату, если не входит в список томских сетей тогда неправляется на родительский прокси
(в данном случае разруливание в томск или на прокси осуществляет наш локальный прокси)

вообще и такая схема должна работать
но как замечено demiurg желательно трафик на родительский прокси перенаправлять мимо VPN -  напрямую.