Как узнать реальный IP клиента на squid?

Question

[Олег Свирчев]

Установил на VPN сервер (Ubuntu 14/04) openvpn + squid прозрачный для проксирования нежелательного трафика. Стал вопрос, как отслеживать в логах сквида пользователей по их реальному айпи или/и логину из openvpn. К сожалению, показывает только NAT-овский ip.

Варианты на примере сопоставления логов опенвпна и сквида не предлагать. Хотелось бы узнать, если возможность в сквиде видеть реальный айпи клиента и его логин из опенвпн?

Comments

[Валентин]

Т.е. клиент с IP например 1.1.1.1 коннектится по VPN на твой сервер 2.2.2.2, далее заруливается в Squid на нём же и только потом во внешний интернет выходит? Тогда NAT'ить их надо после Squid'а. Или я неправильно понял схему сети?

[Олег Свирчев]

Валентин: Да, правильно поняли. Опенвпн шифрует траф, создает приватную сеть. В ней сквид фильтрует данные и уже отдает данные в интернет

[Валентин]

Получается NAT не там срабатывает. Ну т.е. выглядеть как должно: по VPN клиенты объединяются в общую локальную сеть с сервером, ну т.е. сервер 192.168.1.1 допустим, VPN клиенты 192.168.1.2-100 например. Ну и 192.168.1.1 видимо default route для клиентов, раз прокси прозрачный и через эту машину ходят в мир. Соответственно NAT на интерфейсе внешнем, wan, а VPN клиенты на внутренней сети - в squid приходят их 192.168.1.* IP'шники, и уже за сквидом они NAT'ятся. Понятно объяснил? Просто это обычная реализация такой штуки, сложно объяснять привычные простые вещи еще проще чем сам знаешь :)

[Олег Свирчев]

Валентин: Не понял, что Вы имеете ввиду. Опишу подробнее. Есть впн сервер на openvpn. Я к нему подключаюсь по айпи - 1.1.1.1. Мой айпи 2.2.2.2. Опенвпн естественно создает внутренную сеть 10.8.0.1. Мой айпи становится соответсвенно 10.8.0.5 например. Дальше сквид делает фильтр трафика, который на сети 10.8.0.1. А Вы как это представляете?

[Олег Свирчев]

Олег Свирчев: Чтобы сквид получал айпи клиента, он значит должен быть на входе трафика, а потом уже его передавать впн серверу, только это получается какой-то бред

[Валентин]

Ну так NAT'ить надо ж не интерфейс с 10.8.0.1 адресом (видимо tap0), а wan. Тогда в сквид прилетят 10.8. адреса в лог, их ведь в логах видеть будет достаточно? Или хочется увидеть в логе сквида 2.2.2.2?

[Олег Свирчев]

Валентин: В том и дело, что прилетают адреса 10.8, а нужны 2.2.2.2 адреса

[Валентин]

Ну внешние IP клиентов вообще никак не увидишь, их ж VPN-то показывает только в самом начале коннекта, а дальше-то переключается на внутренние (ну или логины). А до сквида они просто не дойдут вообще, никак их не донесешь до сквида.

Answer 1

[Илья Т.]

Вам нужно на опенвпн отключить нат и включить маршрутизацию, т.е. сделать так, чтобы клиенты попадали в сеть с тем ip который им выдал Openvpn.

Comments

[Олег Свирчев]

И как это сделать на Опенвпн?