savoi Posted January 14, 2021 Posted January 14, 2021 Привет всем ! Имеется MikroTik RouterOS 6.46.3, к которому подсоединены устройства. Сам MikroTik по адресу WAN расположен по адресу 192.168.100.145. Микротик выходит в Интернет через адрес 192.168.1.15 (gate) Все работало хорошо пока не настроил Squid на 192.168.1.15 на 3128 порту. Теперь собственно вопрос Как мне заставить устройства подключенные к MikroTik (точнее даже сам MikroTik) выходить в Интернет, когда в сети появился указанный выше Squid ? Набрал на MikroTik следующие две команды /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-addresses=192.168.1.15 to-ports=3128 /ip firewall nat add chain=dstnat protocol=tcp dst-port=443 action=redirect to-addresses=192.168.1.15 to-ports=3128 И переместил эти правила в самое начало. Но не работает, хотя пакетики какие-то бегают через данные правила Повторю, без Squid все работало великолепно. Где надо пошаманить ручками ? Заранее спасибо за ответы Вставить ник Quote
jffulcrum Posted January 14, 2021 Posted January 14, 2021 11 часов назад, savoi сказал: /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-addresses=192.168.1.15 to-ports=3128 /ip firewall nat add chain=dstnat protocol=tcp dst-port=443 action=redirect to-addresses=192.168.1.15 to-ports=3128 Так с чего action=redirect? При этом source IP не подменяется, это чтобы перенаправить трафик на сервере в одной сети с клиентами. Action должен быть dst-nat Вставить ник Quote
gard Posted January 15, 2021 Posted January 15, 2021 Говоря по другому, redirect - редиректит трафик на указанный порт самого микротика. Вставить ник Quote
savoi Posted January 15, 2021 Author Posted January 15, 2021 8 hours ago, jffulcrum said: Так с чего action=redirect? При этом source IP не подменяется, это чтобы перенаправить трафик на сервере в одной сети с клиентами. Action должен быть dst-nat Спасибо за помощь и ответ. Я Вас скорее всего ввел в заблуждение...за что прошу прощения..Хотя наверно и не ввел.....короче дело обстоит так.....К микротику подключены устройства с которых мне надо снимать статистику....внешний порт микротика по IP 192.168.100.145 подключен к маршрутизатору по адресу 192.168.100.1 а он уже через VPN туннель подключен к маршрутизатору по адресу 192.168.1.15 у которого на 3128 порту настроен непрозрачный Squid...(при прозрачном все работало на ура)...как мне добраться до устройств чтобы снять сатистику и именно через web ? 2 hours ago, gard said: Говоря по другому, redirect - редиректит трафик на указанный порт самого микротика. Спасибо за помощь и ответ. Я Вас скорее всего ввел в заблуждение...за что прошу прощения..Хотя наверно и не ввел.....короче дело обстоит так.....К микротику подключены устройства с которых мне надо снимать статистику....внешний порт микротика по IP 192.168.100.145 подключен к маршрутизатору по адресу 192.168.100.1 а он уже через VPN туннель подключен к маршрутизатору по адресу 192.168.1.15 у которого на 3128 порту настроен непрозрачный Squid...(при прозрачном все работало на ура)...как мне добраться до устройств чтобы снять сатистику и именно через web ? Вставить ник Quote
gard Posted January 15, 2021 Posted January 15, 2021 Это у вас один броадкаст-домен? Устройства друг для друга доступны? Сеть то судя по описанию "плоская". Как настроен микротик? Бриджем или он что-то натит? Лучше нарисуйте =) Вставить ник Quote
savoi Posted January 15, 2021 Author Posted January 15, 2021 46 minutes ago, gard said: Это у вас один броадкаст-домен? Устройства друг для друга доступны? Сеть то судя по описанию "плоская". Как настроен микротик? Бриджем или он что-то натит? Лучше нарисуйте =) Спасибо за помощь и ответ.....да нет...все гораздо проще...надо просто добраться до устройств (которые что-то делают, сейчас это не важно) на которых нет возможности прописать прокси...не заложена такая возможность у них...а результаты их работы мне надо отображать через web....поэтому надо как-то эти устройства (точнее даже микротик, потому что все они будут видны под его адоресом) подружить с прокси на 192.168.1.15....говорят что при непрозрачном прокси такое не реализовать без прописывания прокси в устройствах...а я это сделать не могу в силу названной выше причины...поэтому придется на 192.168.1.15 писать правило(а) для обхода трафика с адреса 192.168.100.145...благо там установлен Ubuntu с его iptables...вот насколько сложно реализовать эти правила сейчас и думаю Вставить ник Quote
gard Posted January 18, 2021 Posted January 18, 2021 У вас получается какой-то двойной нат, первый - на прокси, второй - на микротике. Для наблюдаемых устройств их наверное проще избавить от второго nat'а, просто забриджевав их порт и аплинк на микротике. А уже на Gate, на котором прокси, делать проброс портов до этих устройств. Также у этих устройств должен быть указан верный default gw, который Gate, чтобы они отвечали. Вставить ник Quote
savoi Posted January 18, 2021 Author Posted January 18, 2021 3 hours ago, gard said: У вас получается какой-то двойной нат, первый - на прокси, второй - на микротике. Для наблюдаемых устройств их наверное проще избавить от второго nat'а, просто забриджевав их порт и аплинк на микротике. А уже на Gate, на котором прокси, делать проброс портов до этих устройств. Также у этих устройств должен быть указан верный default gw, который Gate, чтобы они отвечали. Спасибо за ответ и помощь....да конечно на gate надо сделать обход Squid для устройств подключенных к микротик...думаю отца русской демократии (то есть меня) спасут правила обхода только для внешнего адреса микротика то есть IP 192.168.100.145 надо пустить в обход Squid на gate 192.168.0.15.....может быть этого окажется и не достаточно и придется пустить в обход Squid всю подсетку.... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.