savoi Опубликовано 14 января, 2021 · Жалоба Привет всем ! Имеется MikroTik RouterOS 6.46.3, к которому подсоединены устройства. Сам MikroTik по адресу WAN расположен по адресу 192.168.100.145. Микротик выходит в Интернет через адрес 192.168.1.15 (gate) Все работало хорошо пока не настроил Squid на 192.168.1.15 на 3128 порту. Теперь собственно вопрос Как мне заставить устройства подключенные к MikroTik (точнее даже сам MikroTik) выходить в Интернет, когда в сети появился указанный выше Squid ? Набрал на MikroTik следующие две команды /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-addresses=192.168.1.15 to-ports=3128 /ip firewall nat add chain=dstnat protocol=tcp dst-port=443 action=redirect to-addresses=192.168.1.15 to-ports=3128 И переместил эти правила в самое начало. Но не работает, хотя пакетики какие-то бегают через данные правила Повторю, без Squid все работало великолепно. Где надо пошаманить ручками ? Заранее спасибо за ответы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 14 января, 2021 · Жалоба 11 часов назад, savoi сказал: /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-addresses=192.168.1.15 to-ports=3128 /ip firewall nat add chain=dstnat protocol=tcp dst-port=443 action=redirect to-addresses=192.168.1.15 to-ports=3128 Так с чего action=redirect? При этом source IP не подменяется, это чтобы перенаправить трафик на сервере в одной сети с клиентами. Action должен быть dst-nat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 15 января, 2021 · Жалоба Говоря по другому, redirect - редиректит трафик на указанный порт самого микротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
savoi Опубликовано 15 января, 2021 · Жалоба 8 hours ago, jffulcrum said: Так с чего action=redirect? При этом source IP не подменяется, это чтобы перенаправить трафик на сервере в одной сети с клиентами. Action должен быть dst-nat Спасибо за помощь и ответ. Я Вас скорее всего ввел в заблуждение...за что прошу прощения..Хотя наверно и не ввел.....короче дело обстоит так.....К микротику подключены устройства с которых мне надо снимать статистику....внешний порт микротика по IP 192.168.100.145 подключен к маршрутизатору по адресу 192.168.100.1 а он уже через VPN туннель подключен к маршрутизатору по адресу 192.168.1.15 у которого на 3128 порту настроен непрозрачный Squid...(при прозрачном все работало на ура)...как мне добраться до устройств чтобы снять сатистику и именно через web ? 2 hours ago, gard said: Говоря по другому, redirect - редиректит трафик на указанный порт самого микротика. Спасибо за помощь и ответ. Я Вас скорее всего ввел в заблуждение...за что прошу прощения..Хотя наверно и не ввел.....короче дело обстоит так.....К микротику подключены устройства с которых мне надо снимать статистику....внешний порт микротика по IP 192.168.100.145 подключен к маршрутизатору по адресу 192.168.100.1 а он уже через VPN туннель подключен к маршрутизатору по адресу 192.168.1.15 у которого на 3128 порту настроен непрозрачный Squid...(при прозрачном все работало на ура)...как мне добраться до устройств чтобы снять сатистику и именно через web ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 15 января, 2021 · Жалоба Это у вас один броадкаст-домен? Устройства друг для друга доступны? Сеть то судя по описанию "плоская". Как настроен микротик? Бриджем или он что-то натит? Лучше нарисуйте =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
savoi Опубликовано 15 января, 2021 · Жалоба 46 minutes ago, gard said: Это у вас один броадкаст-домен? Устройства друг для друга доступны? Сеть то судя по описанию "плоская". Как настроен микротик? Бриджем или он что-то натит? Лучше нарисуйте =) Спасибо за помощь и ответ.....да нет...все гораздо проще...надо просто добраться до устройств (которые что-то делают, сейчас это не важно) на которых нет возможности прописать прокси...не заложена такая возможность у них...а результаты их работы мне надо отображать через web....поэтому надо как-то эти устройства (точнее даже микротик, потому что все они будут видны под его адоресом) подружить с прокси на 192.168.1.15....говорят что при непрозрачном прокси такое не реализовать без прописывания прокси в устройствах...а я это сделать не могу в силу названной выше причины...поэтому придется на 192.168.1.15 писать правило(а) для обхода трафика с адреса 192.168.100.145...благо там установлен Ubuntu с его iptables...вот насколько сложно реализовать эти правила сейчас и думаю Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 18 января, 2021 · Жалоба У вас получается какой-то двойной нат, первый - на прокси, второй - на микротике. Для наблюдаемых устройств их наверное проще избавить от второго nat'а, просто забриджевав их порт и аплинк на микротике. А уже на Gate, на котором прокси, делать проброс портов до этих устройств. Также у этих устройств должен быть указан верный default gw, который Gate, чтобы они отвечали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
savoi Опубликовано 18 января, 2021 · Жалоба 3 hours ago, gard said: У вас получается какой-то двойной нат, первый - на прокси, второй - на микротике. Для наблюдаемых устройств их наверное проще избавить от второго nat'а, просто забриджевав их порт и аплинк на микротике. А уже на Gate, на котором прокси, делать проброс портов до этих устройств. Также у этих устройств должен быть указан верный default gw, который Gate, чтобы они отвечали. Спасибо за ответ и помощь....да конечно на gate надо сделать обход Squid для устройств подключенных к микротик...думаю отца русской демократии (то есть меня) спасут правила обхода только для внешнего адреса микротика то есть IP 192.168.100.145 надо пустить в обход Squid на gate 192.168.0.15.....может быть этого окажется и не достаточно и придется пустить в обход Squid всю подсетку.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...