Ivanovo Linux Users Group - Not logged in
Forum Help Search Login
Previous Next Up Topic Администрирование / Общее администрирование / pptpd & squid проблема (15727 hits)
- By hawk Date 04.07.11 13:01
Добрый день!
Есть сервер с работающим на нем прокси Сквид, слушает внутренний IP и порт - не прозрачный.
Сейчас поставлен PopTop в качестве pptpd сервера, для подключения к офисной сетке удаленных виндовс клиентов.
Все это фунциклирует на FreeBSD, поэтому в момент подключения по VPN, в системе создается сетевой интерфейс tun0 для первого подкл, tun1 для второго и т.д. Так вот проблема в том, что на момент подкл и откл по VPN - SQUID начинает выдавать страницу "Доступ запрещен" - "ERR_ACCESS_DENIED", по всем сайтам, через какое то время все восстанавливается и работает.
Часть пользователей выходят в инет через NAT - у них норма, т.е. проблема только в сквиде.
Кто что думает по этому поводу?
echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
Parent - By LOE (Site/forum admin) Date 04.07.11 15:02
ИМХО сквид перенастраивается на появление/исчезновение интерфейсов.
Что прописано в опции http_port ? (определен или нет слушаемый интерфейс)

И посмотри расширенный лог в такой момент.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By hawk Date 04.07.11 15:18 Edited 04.07.11 15:34
В том-то и дело, сразу про это подумал, сквид слушает жестко внутренний IP и порт, листинг sockstat (то же что lsof -i -вроде в лине) выдает что сквид четко держит один интерфейс (http_port 192.168.0.100:7546). Но может каким то макаром задевает. Пока не ясно одно, пользователи у которых "доступ запрещен" пингуют норма IP адрес сквида доменное имя, т.е. маршруты отпадают, все доступно, и что самое интересное, но пока не проверил, говорят 443 порт - а его я разрешаю не многим в сквиде - для скайпа - работает, т.е. скайп у юзерей продолжает пахать, если 443 порт закрыть в сквиде - то не пашет - проверено. Ежели так, то сквид артачится только по 80 порту и в голове что-то не укладывается, что за ерунда...

p.s. фаером на момент поднятия tun ни каких маршрутов не добавляю, все по дефолту. В PopTop юзеры берут адреса  из диапазона свободных - основной сети. Еще есть socks5 сервер, кстати слушает тот же IP что и сквид но порт 1080 по умолчанию, он пашет как ни в чем не бывало.

p.s.2 # squid -v
Squid Cache: Version 3.1.12
poptop-1.3.4_2

p.s.3 Кстати, совсем забыл, проблема эта PopTop ни как не касается, это сквид - 100%, на этом сервере еще VTUN работает для объединения двух офисов, т.е. не по требованию, а постоянный тунель. Так вот если туннель разорвать - сквид ведет себя аналогично, т.е. на некоторое время "Доступ запрещен".
echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
Parent - By LOE (Site/forum admin) Date 05.07.11 11:12
Тогда остается стандартный путь: включать отладку и смотреть.
Можно ведь еще один идентичный сквид запустить и отлаживать на нем, не трогая основной (да и логов там будет поменьше)
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent - By hawk Date 05.07.11 11:34
Я уже думаю поднять JAIL и в него PPTP все эти засунуть, хотя фиг знает как там с внутренними и внешними адресами сетей, маршрутизацией, надо поковырять этот вопрос.
echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
Parent By Bercut Date 06.07.11 18:47
а еще маза виртуализировать все это дело
русский язык подобен искуству кун-фу, и великий мастер никогда не применит его без необходимости...
Parent - By hawk Date 13.07.11 11:34
Я вот думаю tcp_outgoing_address не поможет ли мне в данном случае? По идее надо, когда несколько провов, тут один на него все и зарулить, т.е. через нужный внешний адрес. По теории, добавление других интерфейсов не должно влиять бы.
echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
Parent By LOE (Site/forum admin) Date 14.07.11 08:20
Думал об этом...
Надо пробовать.
Но самый быстрый путь - все-таки включать debug и смотреть логи.
"No! Try not! Do. Or do not. There is no try." -- Yoda
Parent By hawk Date 26.09.13 05:41
Оживлю тему, с проблемой разобрался случайно, отключив для ряда пользователей проверку по MAC :-).
Т.е. 

acl ip1027 src 192.168.10.27/32
acl mac1027 arp 14:da:e9:97:e4:24
.....
#http_access allow mac1027 ip1027
http_access allow ip1027

перестаёт отваливаться.
echo "good..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
Previous Next Up Topic Администрирование / Общее администрирование / pptpd & squid проблема (15727 hits)

Powered by mwForum 2.12.0 © 1999-2007 Markus Wichitill

Page created in 0.079s with 11 database queries.