1 / 1 / 0
Регистрация: 15.06.2015
Сообщений: 12
|
|
1 | |
Mikrotik + Squid03.12.2019, 16:27. Показов 11543. Ответов 24
Доброго времени суток.
Столкнулся с такой задачей: Есть сеть расположенная за Микротиком (192.168.10.0/24). Часть клиентов с нее ходит в интернет через NAT. Есть прокси сервер (не прозрачный) - 192.168.10.50:3128 с отдельным интернет интерфейсом от провайдера. На прокси-сервере настроена фильтрация в том числе и https + статистика. Нужно чтоб часть клиентов с локальной подсети 192.168.10.0 ходило через прокси в интернет. Если прописать настройки прокси вручную на ПК клиентов то все работает. Попробовал перенаправить трафик 80 и 443 порта на сквид - доступа в интернет нет. Перенаправлял таким правилом: Код
add action=dst-nat chain=dstnat disabled=no dst-port=443,80 protocol=tcp src-address=192.168.10.0/24 src-address-list=proxy_inet to-addresses=192.168.10.50 to-ports=3128 Заранее благодарен.
0
|
03.12.2019, 16:27 | |
Ответы с готовыми решениями:
24
Непонятное поведение MikroTik hEX и MikroTik hAP Объединить Mikrotik - Netis - Mikrotik Mikrotik TO Mikrotik (VPN) Mikrotik hAP lite + Mikrotik hAP lite раздача интернета по сети |
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
05.12.2019, 07:28 | 21 |
Попробуйте пробросить 443->443 и 80->80.
При этом прокси должен работать в прозрачном режиме (сам выполняет redirect 443,80 на 3128) Что-то надо допилить в прокси, но мне со squid работать не приходилось, куда копать на нем - не скажу. Видимо, когда прокси явно указан в настройках клиента, клиент формирует один заголовок http или тело, когда не указан - другой. И если исходить из этих предположений о заголовках или теле HTTP (у клиента явно не указан прокси), придется настраивать прокси в прозрачном режиме (с редиректом на нем самом)
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
05.12.2019, 10:48 | 22 |
решил посмотреть на заголовки HTTP при открытии в браузере cyberforum.ru (185.112.80.14) в двух случаях:
1. без явного указания HTTP-прокси в браузере 2. с явным указанием HTTP-прокси в браузере: 194.44.246.210:8080 и все же естественно есть отличия
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
05.12.2019, 11:45 | 23 |
Сообщение было отмечено kselltrum как решение
Решение
kselltrum, исходя из выше мной написанного, решение будет таким скорее всего таким:
1. сам redirect 443->3128 80->3128 вам нужно сделать на squid (то есть squid настроить в transparent), на нем же прописать маршрут до 192.168.10.0/24 через 192.168.22.1 2. на микротике надо завернуть пакет на squid согласно маршрутизации, не изменяя адрес назначения: Код
/ip firewall mangle add action=mark-routing chain=prerouting dst-port=80,443 new-routing-mark=proxy passthrough=no \ protocol=tcp src-address=192.168.10.11 Код
/ip firewall mangle add action=mark-routing chain=prerouting dst-port=80,443 new-routing-mark=proxy passthrough=no \ protocol=tcp src-address-list=proxy-clients Код
/ip route add comment=to_proxy distance=1 gateway=192.168.22.2 routing-mark=proxy None по возможности проверит это. PS можно в правила в mangle еще добавить Код
dst-address=!192.168.22.0/30
1
|
1 / 1 / 0
Регистрация: 15.06.2015
Сообщений: 12
|
|
05.12.2019, 17:34 [ТС] | 24 |
Через прозрачный прокси все работает)
Спасибо )
0
|
3999 / 1578 / 310
Регистрация: 23.06.2009
Сообщений: 5,607
|
|
05.12.2019, 19:04 | 25 |
да проверил, по такой схеме все работает, прокси в прозрачном режиме, на основном шлюзе меченные пакеты именованным маршрутом отправлять на прокси.
0
|
05.12.2019, 19:04 | |
05.12.2019, 19:04 | |
Помогаю со студенческими работами здесь
25
mikrotik Видеонаблюдение на Mikrotik Mikrotik и вафля Mikrotik маршруты Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |