Как перенаправить порты 80 и 443 squid находящемся на удаленном сервере?

Question

[dmierm]

Суть проблемы:
Есть vps с настроенным OpenVpn ip туннельного интерфейса tun1 10.10.1.1
Есть OpenWrt роутер(10.55.44.1) на нем настроен клиент (в режиме site-to-site) OpenVpn с адресом tun1 10.10.1.3
За роутером есть подсеть 10.55.44.0/24. Трафик ходит на vps тут проблем никаких нету. На vps установлен squid и настроен в режим прозрачного проксирования. Как перенаправить порты 80 и 443 из подсети 10.55.44.0/24 в сквид?
Правила которые пишу на OpenWrt:
iptables -t nat -A PREROUTING -s 10.55.44.0/24 -p tcp --dport 80 -j DNAT --to-destination 10.10.1.1:3128
iptables -t nat -A PREROUTING -s 10.55.44.0/24 -p tcp --dport 443 -j DNAT --to-destination 10.10.1.1:3129

Конфиг сквида:
acl localnet src 10.10.1.1/32
acl homenet src 10.55.44.0/24

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow all CONNECT
http_access allow all
http_access allow localnet
http_access allow localhost
http_access allow homenet
http_access deny all

http_port 3128 intercept options=NO_SSLv3:NO_SSLv2
http_port 3130 options=NO_SSLv3:NO_SSLv2
https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/ssl_cert/myCA.pem

cert=/etc/squid/ssl_cert/myCA.pem key=/etc/squid/ssl_cert/myCA.pem
cert=/etc/squid/ssl_cert/myCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
check_hostnames off
dns_nameservers 10.10.1.1

acl step1 at_step SslBump1
ssl_bump peek step1

ssl_bump splice all

sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

coredump_dir /var/spool/squid

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

cache_swap_low 90
cache_swap_high 95
access_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_log /var/log/squid/cache.log
memory_replacement_policy lru
logfile_rotate 6

Comments

[mureevms]

По идее все верно. Вы не сказали как настроены клиенты. С OVPN сервера им пушится дефолтт гетвей?

UPDATE
По диагонали прочитал. Не все верно. Опишите кейс подробнее, как клиент выходит в инет. Или просто приложите настройки OVPN сервера и клиента. И еще желательно знать как настроена сеть на тачках за роутером и описания на словах чего вы хотите достичь в конечном итоге

[dmierm]

mureevms, Нет гейтвей клиентам не пушится, машины в сети 10.55.44.0/24 ничего не знают про vpn и squid(их гейт 10.55.44.1). На гейте прописан маршрут до машины с сквидом через впн, и если отключить правила в iptables и задать дефолтный маршрут на гейте в впн то все тачки начинают выходить в интернет через впн(т.е. проблема не vpn). Как только я прописываю на гейте 2 правила:
iptables -t nat -A PREROUTING -s 10.55.44.0/24 -p tcp --dport 80 -j DNAT --to-destination 10.10.1.1:3128
iptables -t nat -A PREROUTING -s 10.55.44.0/24 -p tcp --dport 443 -j DNAT --to-destination 10.10.1.1:3129
то в доступ в инернет пропадает а в логах сквида появляются ошибки:
kid1| WARNING: Forwarding loop detected for:
GET / HTTP/1.1

[dmierm]

mureevms, В конечном итоге хотелось бы http/https трафик из сети 10.55.44.0/24 направить в сквид через vpn а потом в интернет.

[dmierm]

Конфиг сервера:
port 3871
proto udp
dev tun
ca ca.crt
cert vpnsrv.crt
key vpnsrv.key
dh dh.pem
crl-verify crl.pem
server 10.10.1.0 255.255.255.0

ifconfig-pool-persist ipp.txt
client-config-dir /etc/openvpn/.ccd

push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
remote-cert-eku "TLS Web Client Authentication"
keepalive 10 120
tls-server
tls-auth ta.key 0
tls-timeout 120
auth SHA512
cipher AES-256-CBC
comp-lzo
max-clients 10
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 6

push "route 10.55.44.0 255.255.255.0"

route 10.55.44.0 255.255.255.0

Конфиг кдиента:
config openvpn 'vpnsrv_st'
option dev 'tun'
option nobind '1'
option verb '3'
option comp_lzo 'yes'
option port '3871'
option ca '/etc/openvpn/vpnsrv_st/ca.crt'
option key '/etc/openvpn/vpnsrv_st/home_gate.key'
option cert '/etc/openvpn/vpnsrv_st/home_gate.crt'
option dh '/etc/openvpn/vpnsrv_st/dh.pem'
option proto 'udp'
option client '1'
option tls_client '1'
option auth 'SHA512'
option tls_auth '/etc/openvpn/vpnsrv_st/ta.key 1'
option enabled '1'
option log '/var/log/openvpn.log'
option cipher 'AES-256-CBC'
option remote_cert_tls 'server'
option remote '95.###.###.###'
option pull '1'
option route_noexec '1'