Всем привет.
Я начинающий сисадмин (за неграмотность не судите строго). Совсем недавно начал работать с Debian, как с серверной системой. Есть некая локальная сеть 192.168.1.0/24. В этой сети я поднял proxy на debian lenny 5.06 (squid с параметром transparent) + учёт пользователей (SAMS). Всё работает прекрасно. Пользователи ходят в нет через прозрачный прокси. Через SAMS есть возможность контролировать их перемещения по нету. Но вот появилась такая задача: надо полностью зашифровать трафик между локалкой и внешкой. Есть коммерческие проекты типа Ideco ICServer и т.п. где реализована авторизация пользователей на шлюзе несколькими вариантами (VPN, agent, web, ip). Вот меня заинтересовал вариант VPN авторизации. В сети не нашёл толковых вариантов реализации данной задумки. Вот надеюсь на ваши знания и умения. И прошу помощи и подсказок. Когда будет полный комплект squid+sams+vpn обещаю подробную инструкцию. Да, чуть не забыл, обязательно должен работать сбор статистики по пользователям в виртуалке адреса назначаются по DHCP. Если нужна какая доп. инфа спрашивайте, обязательно поделюсь.
Заранее благодарю всех, кто уделил хоть какое-то внимание.

надо полностью зашифровать трафик между локалкой и внешкой »
неясна постановка задачи

Да. У меня всегда такая проблема была. Не могу формулировать и всё тут. Попробую на примере. Есть локальная сеть и есть виртуальная. Если, к примеру запустить icq снифер из локалки или виртуалки, то сообщения не должны перехватываться, т.к. проходят через зашифрованый канал. Вот. Так и с остальным трафиком. Вобщем мне удалось поднять VPN, но столкнулся с такой проблемой - Не могу правильно настроить iptables. Весь трафик из локалки наружу (в нашем случае из виртуалки) должен перенаправляться на порт 3128 где висит прозрачный прокси. С iptables у меня туговато, вот вопрос теперь в этом. Привожу свой вариант:

*filter
:INPUT DROP [417:72027]
:FORWARD ACCEPT [2622:161926]
:OUTPUT ACCEPT [2664:224816]
-A INPUT -p tcp -m tcp --dport 33 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 172.16.16.0/24 -j ACCEPT - вот смущает эта строка. Уверен неправильно, но как должно быть не разберусь.
-A INPUT -s 192.168.1.0/24 -i eth2 -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [727:92675]
:POSTROUTING ACCEPT [4:281]
:OUTPUT ACCEPT [4:281]
-A PREROUTING -s 172.16.16.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 172.16.16.0/24 -o eth1 -j SNAT --to-source 10.10.254.4
COMMIT

ну и интерфейсы для ясности:

eth1 Link encap:Ethernet HWaddr 00:04:76:11:64:b6
inet addr:10.10.254.4 Bcast:10.10.254.255 Mask:255.255.255.0
inet6 addr: fe80::204:76ff:fe11:64b6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5554326 errors:0 dropped:0 overruns:0 frame:0
TX packets:7805467 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2341920706 (2.1 GiB) TX bytes:627349622 (598.2 MiB)
Interrupt:16 Base address:0xc800

eth2 Link encap:Ethernet HWaddr 00:80:48:18:3c:30
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::280:48ff:fe18:3c30/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8928042 errors:0 dropped:0 overruns:0 frame:0
TX packets:5952167 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:936018929 (892.6 MiB) TX bytes:2464906609 (2.2 GiB)
Interrupt:19 Base address:0xe800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:359159 errors:0 dropped:0 overruns:0 frame:0
TX packets:359159 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:205829207 (196.2 MiB) TX bytes:205829207 (196.2 MiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:172.16.16.1 P-t-P:172.16.16.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:231083 errors:0 dropped:0 overruns:0 frame:0
TX packets:141045 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:12442966 (11.8 MiB) TX bytes:48309055 (46.0 MiB)

ppp1 Link encap:Point-to-Point Protocol
inet addr:172.16.16.1 P-t-P:172.16.16.3 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:2135 errors:0 dropped:0 overruns:0 frame:0
TX packets:2706 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:222022 (216.8 KiB) TX bytes:2978822 (2.8 MiB)

а зачем для шифрования трафика использовать отдельный впн?

Так. Оказалось всё в порядке. Запросы как и положено заворачиваются на squid. Теперь нужно разобраться, как настроить sams на пользователей. debian раздаёт адреса в виртуалке по DHCP. В sams выставлена авторизация по ip. Может у вас есть какие предложения?!

"а зачем для шифрования трафика использовать отдельный впн?"

Не совсем понял что вы имеете ввиду. Есть какие-то другие варианты?