Как заставить Squid гнать траффик через openvpn подключение?

Question

[nathanael]

Мне необходимо настроить прокси сервер, чтобы отдельные приложения могли пускать траффик через него.

В свою очеред этот прокси (squid) должен использовать vpn-соединение (openvpn), но оно не должно заменять маршруты по-умолчанию.

Мне видится это так: я запускаю клиент VPN, подключаюсь (но интернет идёт НЕ через VPN), после подключения vpn-клиент запускает squid (через скрипт).
После чего я могут запусть некую программу и в параметрах прокси указать адрес и порт сквида.

Может мне нужен другой прокси сервер (не все программы поддерживают http-прокси, а например только socks).

В процессе поиска нашёл опцию сквида tcp_outgoing_address (которой передаётся адрес устройства впн-тоннеля).

В VPN конфиге закомментировал опцию redirect-gateway.

Но прокси так и не работает как задумано.

Comments

[Dimonchik]

а тут все соблюдается?
www.squid-cache.org/Doc/config/tcp_outgoing_address

ACL ?
логи что говорят?

[nathanael]

dimonchik2013, acl не используются, и как я понимаю это влиять не должно.
В логах сквида:
1560870063.336 0 x.x.x.x NONE/000 0 NONE error:transaction-end-before-headers - HIER_NONE/- -

[Dimonchik]

based on the username or source address of the user

таки ACL нужен

Answer 1

[ky0]

Вы хотите странного. Общепринятый способ направления трафика в VPN-туннель - добавление маршрутов для отдельных подсетей или по умолчанию. Если проблема в том, что впн нужен только для прокси, а рядом с ней ещё какие-то сервисы, которые должны ходить через интернет - вынесите прокси на отдельную виртуалку/контейнер.

Comments

[nathanael]

Да, хочу странного видимо.
Пока, что гуглинг навёл меня на network namespaces.

Мне было бы очень удобно всё на своей машине иметь.

Подключение к VPN которой внешне не меняет поведение сети, а если мне нужно пустить некоторую программу по VPN каналу, то в ней прописывается что-то вроде: socks5://localhost:4239

Answer 2

[АртемЪ]

Трафик любой программы в том числе и Squid идет либо по явно заданному маршруту если такой есть, либо идет через шлюз по умолчанию.
Если у вы не прописали маршрут для данного трафика он в любом случае пойдет через шлюз по умолчанию.

Поскольку Squid это прокси сервер, и через него ходит самый разный трафик, то вы не можете задать маршрут явно.
Значит трафик будет идти через шлюз по умолчанию.
Если этим шлюзом будет доступен через openvpn подключение значит трафик пойдет через openvpn.

Answer 3

[taliano]

Можно на другой стороне поднять еще один сквид и пускать на него траффик как на cache_peer

Answer 4

[HarutAdyan]

Кто поможет настроить маршруты? При подключении VPN перестает подключиться к прокси, в логе ничего. И проски и впн завернуты в контейнер. Да и прокси худо бедно работает, только через браузер остальные программы не подключаються ошибка сертификата.