Mikrotik и прозрачный сторонний прокси

Тема в разделе "Общий форум", создана пользователем alexander, 7 мар 2017.

  1. alexander

    alexander Новый участник

    Добрый день!

    Помогите с прозрачным подключением к микротику стороннего прокси сервера

    Хочется сделать следующее:
    На всех локальных машинах стоит шлюзом микротик 192.168.91.1 (Локальная сеть 192.168.91.0/24)
    приходящие на него запросы по 80 порту хочется пересылать на прокси kerio 10.40.10.6 порт 3128
    что бы видеть какой пользователь куда ходит.

    Прокси на kerio настроен. При прописывании его в браузере, всё работает. Хочется запустить прозрачный прокси.

    Пробовал сделать так (тестирую для адреса 192.168.91.30):
    /ip firewall nat
    chain=dstnat action=netmap to-addresses=10.40.10.6 protocol=tcp
    src-address=192.168.91.30 in-interface=bridge1 dst-port=3128
    Страницы пытаются грузиться, но без результата. Белый экран. Ошибок в логах керо не нашёл.

    Попробовал переслать на внутренний прокси микротика и с него на керио.
    /ip firewall nat
    chain=dstnat action=redirect to-ports=8080 protocol=tcp
    src-address=192.168.91.30 in-interface=bridge1 dst-port=80
    /ip proxy> print
    enabled: yes
    src-address: ::
    port: 8080
    anonymous: no
    parent-proxy: 10.40.10.6
    parent-proxy-port: 3128
    Всё работает, но в статистике виден только ip микротика (а не пользователей)

    Включил на керио прозрачный прокси и попробовал пересылать порт 80 напрямую
    /ip firewall nat
    chain=dstnat action=netmap to-addresses=10.40.10.6 protocol=tcp
    src-address=192.168.91.30 in-interface=bridge1 dst-port=80
    Прозрачный прокси заработал, но в статистике опять же вижу ip микротика

    Подскажите, как можно получить реальные ip с прозрачным прокси?

    PS Зеркалирования портов нет
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Вам нужно или Kerio выкинуть в другую подсеть, или Hairpin NAT настоить.
     
  3. alexander

    alexander Новый участник

    Hairpin nat не подойдёт. Он меняет ip источника - не будет статистики.

    В моей конфигурации прокси вынесен в отдельную подсеть 10.40.10.4/30
    При этом внешний интерфейс керио смотрит в подсеть 10.40.10.0/30 т.е. Локальную подсеть он знает только через 10.40.10.5 (ip микротика).

    При прямом обращении с компьютера к прокси серверу всё отрабатывает правильно, но хочется прозрачный прокси.
     
  4. alexander

    alexander Новый участник

    Анализ wireshark`ом показал, что микротик пересылает запросы правильно.
    Видимо что-то не так обрабатывает керио.
    Пойду на профильный форум по керио.
     
  5. Рустам

    Рустам Новый участник

    Получилась данная затея?
     
  6. alexander

    alexander Новый участник

    К сожалению нет.
    Единственное решение предложенное на форумах - это отказ от прозрачного проксирования и указание прокси напрямую в настройках рабочих мест :(
     
  7. Рустам

    Рустам Новый участник

    понятно
     
  8. Рустам

    Рустам Новый участник

    Хочу еще уточнить, интернет поднимался же на микротике ? или керио
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Ищите по словам hairpin NAT. Или выносите прокси в отдельную подсеть.
     
  10. Рустам

    Рустам Новый участник

    Попробовал пересылать 80порт напрямую на прозрачный прокси керио. как ни с трано посыпались локальные айпишники в керио, но по ним нет активности
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Керио в одной подсети с роутером (в LAN)?
     
  12. Рустам

    Рустам Новый участник

    нет