Mikrotik и прозрачный сторонний прокси

Тема в разделе "Общий форум", создана пользователем alexander, 7 мар 2017.

  1. alexander

    alexander Новый участник

    Добрый день!

    Помогите с прозрачным подключением к микротику стороннего прокси сервера

    Хочется сделать следующее:
    На всех локальных машинах стоит шлюзом микротик 192.168.91.1 (Локальная сеть 192.168.91.0/24)
    приходящие на него запросы по 80 порту хочется пересылать на прокси kerio 10.40.10.6 порт 3128
    что бы видеть какой пользователь куда ходит.

    Прокси на kerio настроен. При прописывании его в браузере, всё работает. Хочется запустить прозрачный прокси.

    Пробовал сделать так (тестирую для адреса 192.168.91.30):
    /ip firewall nat
    chain=dstnat action=netmap to-addresses=10.40.10.6 protocol=tcp
    src-address=192.168.91.30 in-interface=bridge1 dst-port=3128
    Страницы пытаются грузиться, но без результата. Белый экран. Ошибок в логах керо не нашёл.

    Попробовал переслать на внутренний прокси микротика и с него на керио.
    /ip firewall nat
    chain=dstnat action=redirect to-ports=8080 protocol=tcp
    src-address=192.168.91.30 in-interface=bridge1 dst-port=80
    /ip proxy> print
    enabled: yes
    src-address: ::
    port: 8080
    anonymous: no
    parent-proxy: 10.40.10.6
    parent-proxy-port: 3128
    Всё работает, но в статистике виден только ip микротика (а не пользователей)

    Включил на керио прозрачный прокси и попробовал пересылать порт 80 напрямую
    /ip firewall nat
    chain=dstnat action=netmap to-addresses=10.40.10.6 protocol=tcp
    src-address=192.168.91.30 in-interface=bridge1 dst-port=80
    Прозрачный прокси заработал, но в статистике опять же вижу ip микротика

    Подскажите, как можно получить реальные ip с прозрачным прокси?

    PS Зеркалирования портов нет
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Вам нужно или Kerio выкинуть в другую подсеть, или Hairpin NAT настоить.
     
  3. alexander

    alexander Новый участник

    Hairpin nat не подойдёт. Он меняет ip источника - не будет статистики.

    В моей конфигурации прокси вынесен в отдельную подсеть 10.40.10.4/30
    При этом внешний интерфейс керио смотрит в подсеть 10.40.10.0/30 т.е. Локальную подсеть он знает только через 10.40.10.5 (ip микротика).

    При прямом обращении с компьютера к прокси серверу всё отрабатывает правильно, но хочется прозрачный прокси.
     
  4. alexander

    alexander Новый участник

    Анализ wireshark`ом показал, что микротик пересылает запросы правильно.
    Видимо что-то не так обрабатывает керио.
    Пойду на профильный форум по керио.
     
  5. Рустам

    Рустам Участник

    Получилась данная затея?
     
  6. alexander

    alexander Новый участник

    К сожалению нет.
    Единственное решение предложенное на форумах - это отказ от прозрачного проксирования и указание прокси напрямую в настройках рабочих мест :(
     
  7. Рустам

    Рустам Участник

    понятно
     
  8. Рустам

    Рустам Участник

    Хочу еще уточнить, интернет поднимался же на микротике ? или керио
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Ищите по словам hairpin NAT. Или выносите прокси в отдельную подсеть.
     
  10. Рустам

    Рустам Участник

    Попробовал пересылать 80порт напрямую на прозрачный прокси керио. как ни с трано посыпались локальные айпишники в керио, но по ним нет активности
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Керио в одной подсети с роутером (в LAN)?
     
  12. Рустам

    Рустам Участник

    нет
     
  13. Илья Князев

    Илья Князев Администратор Команда форума

    А кто у керио Default Gateway? Есть ли на нем обратный маршрут на микротик?
     
  14. Рустам

    Рустам Участник

    default gateway e kerio микротик. а вот обратного маршрута нету.
     
  15. Илья Князев

    Илья Князев Администратор Команда форума

    Рисуйте схему)
     
  16. dimka.dh

    dimka.dh Новый участник

    Up теме. Какой по итогу результат?
    Так же стоит вопрос о поднятии прозрачного прокси с Микротиком. Задача похожа
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    Никто не знает. Схемы не дождался )
     
  18. Maerty

    Maerty Новый участник

    Приветствую.
    Так же интересует данный вопрос.
    Пользовательская подсеть 192.168.0.0/16

    Вход для firewall vlan26 10.40.40.1/24 - MikroTik
    10.40.40.2/24 - firewall

    Выход для firewall vlan27 10.40.41.1/24 - MikroTik
    10.40.41.2/24 - firewall

    0.0.0.0/0 Gateway

    Пробовал через NAT и через Mangle в общем ни как...
     
  19. Илья Князев

    Илья Князев Администратор Команда форума

    В очередной раз.
    Рисуете схему сети, прикладываете конфиги.
     
  20. jartivnik

    jartivnik Новый участник

    Добрый день! Тема нынче актуальна )))
    Что бы не плодить новых тем решил написать сюда!
    Задача та же, мониторинг пользования интернетом.
    Есть сеть 192.168.0.0/16 с множеством vlan (192.168.8.0/24, 192.168.10.0/24 и тд.)
    На Hiper-V был поднят сервер с прокси Cerio Control (192.168.10.100:3128) зайти в панель управления прокси могу только с компов в сети 192.168.10.0/24.
    192.168.10.0/24 сеть с серверами. Есть файлы для общего доступа, передача документов, ДНС 192.168.10.10 и 192.168.10.12. Работаєт AD.
    За сетью смотрит Mikrotik 1009 через него маршрутизация и интернет. На каждом vlan свой DHCP кроме серверной сети.
    С помощью виртуальной машины в 10 vlan и указания в настройках свойств браузера с машины с ір 192.168.10.11 могу зайти в интернет.
    C сети 192.168.8.0/24 прокси 192.168.10.100 не пингуется. На Керіо правила трафика пока "все разрешено"
    1.jpg
    Пробовал в Mikrotike заворачивать трафик но результата не получил.
    Поделитесь кто то опытом или ткните куда нить почитать. Если еще инфу нужно говорите данные скину. Спасибо.
    С Керіо пинг уходит и на машины в сети и в мир.