Mikrotik + Squid

@kselltrum · Регистрация: 15.06.2015

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
Столкнулся с такой задачей: Есть сеть расположенная за Микротиком (192.168.10.0/24). Часть клиентов с нее ходит в интернет через NAT. Есть прокси сервер (не прозрачный) - 192.168.10.50:3128 с отдельным интернет интерфейсом от провайдера. На прокси-сервере настроена фильтрация в том числе и https + статистика. Нужно чтоб часть клиентов с локальной подсети 192.168.10.0 ходило через прокси в интернет. Если прописать настройки прокси вручную на ПК клиентов то все работает. Попробовал перенаправить трафик 80 и 443 порта на сквид - доступа в интернет нет. Перенаправлял таким правилом:

Код

add action=dst-nat chain=dstnat  disabled=no dst-port=443,80 protocol=tcp src-address=192.168.10.0/24 src-address-list=proxy_inet
to-addresses=192.168.10.50 to-ports=3128

Основным шлюзом стоит Микротик (192.168.10.1)

Заранее благодарен.

@insect_87 · 05.12.2019, 07:28

Попробуйте пробросить 443->443 и 80->80.
При этом прокси должен работать в прозрачном режиме (сам выполняет redirect 443,80 на 3128)
Что-то надо допилить в прокси, но мне со squid работать не приходилось, куда копать на нем - не скажу.
Видимо, когда прокси явно указан в настройках клиента, клиент формирует один заголовок http или тело, когда не указан - другой.

И если исходить из этих предположений о заголовках или теле HTTP (у клиента явно не указан прокси), придется настраивать прокси в прозрачном режиме (с редиректом на нем самом)

@insect_87 · 05.12.2019, 10:48

решил посмотреть на заголовки HTTP при открытии в браузере cyberforum.ru (185.112.80.14) в двух случаях:
1. без явного указания HTTP-прокси в браузере
2. с явным указанием HTTP-прокси в браузере: 194.44.246.210:8080

и все же естественно есть отличия

@insect_87 · 05.12.2019, 11:45

kselltrum, исходя из выше мной написанного, решение будет таким скорее всего таким:
1. сам redirect 443->3128 80->3128 вам нужно сделать на squid (то есть squid настроить в transparent), на нем же прописать маршрут до 192.168.10.0/24 через 192.168.22.1
2. на микротике надо завернуть пакет на squid согласно маршрутизации, не изменяя адрес назначения:

Код

/ip firewall mangle
add action=mark-routing chain=prerouting dst-port=80,443 new-routing-mark=proxy passthrough=no \
protocol=tcp src-address=192.168.10.11

или

Код

/ip firewall mangle
add action=mark-routing chain=prerouting dst-port=80,443 new-routing-mark=proxy passthrough=no \
protocol=tcp src-address-list=proxy-clients

Код

/ip route
add comment=to_proxy distance=1 gateway=192.168.22.2 routing-mark=proxy

None по возможности проверит это.

PS
можно в правила в mangle еще добавить

Код

dst-address=!192.168.22.0/30

и не забудьте выключить DST-NAT

@kselltrum · 05.12.2019, 17:34 **[ТС]**

Через прозрачный прокси все работает)
Спасибо )

@.None · 05.12.2019, 19:04

Сообщение от insect_87

None по возможности проверит это.

да проверил, по такой схеме все работает, прокси в прозрачном режиме, на основном шлюзе меченные пакеты именованным маршрутом отправлять на прокси.

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	05.12.2019, 11:45	23
	Сообщение было отмечено kselltrum как решение Решение kselltrum, исходя из выше мной написанного, решение будет таким скорее всего таким: 1. сам redirect 443->3128 80->3128 вам нужно сделать на squid (то есть squid настроить в transparent), на нем же прописать маршрут до 192.168.10.0/24 через 192.168.22.1 2. на микротике надо завернуть пакет на squid согласно маршрутизации, не изменяя адрес назначения: Код /ip firewall mangle add action=mark-routing chain=prerouting dst-port=80,443 new-routing-mark=proxy passthrough=no \ protocol=tcp src-address=192.168.10.11 или Код /ip firewall mangle add action=mark-routing chain=prerouting dst-port=80,443 new-routing-mark=proxy passthrough=no \ protocol=tcp src-address-list=proxy-clients Код /ip route add comment=to_proxy distance=1 gateway=192.168.22.2 routing-mark=proxy None по возможности проверит это. PS можно в правила в mangle еще добавить Код dst-address=!192.168.22.0/30 и не забудьте выключить DST-NAT 1

@.None 3999 / 1578 / 310 Регистрация: 23.06.2009 Сообщений: 5,607
	05.12.2019, 19:04	25
	Сообщение от insect_87 None по возможности проверит это. да проверил, по такой схеме все работает, прокси в прозрачном режиме, на основном шлюзе меченные пакеты именованным маршрутом отправлять на прокси. 0

@kselltrum 1 / 1 / 0 Регистрация: 15.06.2015 Сообщений: 12
		1
	Mikrotik + Squid 03.12.2019, 16:27. Показов 11543. Ответов 24 Метки mikrotik, proxy, squid (Все метки) Доброго времени суток. Столкнулся с такой задачей: Есть сеть расположенная за Микротиком (192.168.10.0/24). Часть клиентов с нее ходит в интернет через NAT. Есть прокси сервер (не прозрачный) - 192.168.10.50:3128 с отдельным интернет интерфейсом от провайдера. На прокси-сервере настроена фильтрация в том числе и https + статистика. Нужно чтоб часть клиентов с локальной подсети 192.168.10.0 ходило через прокси в интернет. Если прописать настройки прокси вручную на ПК клиентов то все работает. Попробовал перенаправить трафик 80 и 443 порта на сквид - доступа в интернет нет. Перенаправлял таким правилом: Код add action=dst-nat chain=dstnat disabled=no dst-port=443,80 protocol=tcp src-address=192.168.10.0/24 src-address-list=proxy_inet to-addresses=192.168.10.50 to-ports=3128 Основным шлюзом стоит Микротик (192.168.10.1) Заранее благодарен. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	05.12.2019, 07:28	21
	Попробуйте пробросить 443->443 и 80->80. При этом прокси должен работать в прозрачном режиме (сам выполняет redirect 443,80 на 3128) Что-то надо допилить в прокси, но мне со squid работать не приходилось, куда копать на нем - не скажу. Видимо, когда прокси явно указан в настройках клиента, клиент формирует один заголовок http или тело, когда не указан - другой. И если исходить из этих предположений о заголовках или теле HTTP (у клиента явно не указан прокси), придется настраивать прокси в прозрачном режиме (с редиректом на нем самом) 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	05.12.2019, 10:48	22
	решил посмотреть на заголовки HTTP при открытии в браузере cyberforum.ru (185.112.80.14) в двух случаях: 1. без явного указания HTTP-прокси в браузере 2. с явным указанием HTTP-прокси в браузере: 194.44.246.210:8080 и все же естественно есть отличия Миниатюры 0

@kselltrum 1 / 1 / 0 Регистрация: 15.06.2015 Сообщений: 12
	05.12.2019, 17:34 [ТС]	24
	Через прозрачный прокси все работает) Спасибо ) 0

Mikrotik + Squid

Решение