+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Нужна помощь: два маршрута к шлюзу

Нужна помощь: два маршрута к шлюзу, RouterOS

omidi

Guest

10.04.2014 07:22:00

Привет! Я пытаюсь настроить конфигурацию с двумя маршрутами до шлюза (попробую объяснить на картинке ниже). Моя цель — контролировать, какой клиент идёт через прокси-бокс (для AAA, контроля пропускной способности и квот), а какой использует прямой маршрут к шлюзу с помощью Address List (для некоторых устройств). Это получается, если прокси работает в режиме NAT с такой конфигурацией. Но у этого есть минусы и низкая производительность из-за дополнительного NAT (по моим предположениям).

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out

/ip firewall mangle
add action=mark-routing chain=prerouting comment="Via Proxy" in-interface=ether2 new-routing-mark=Lan2Proxy src-address-list="!Direct Internet"

/ip firewall address-list
add address=192.168.0.0/26 comment=Servers list="Direct Internet"

/ip route
add distance=1 gateway=pppoe-out
add distance=1 gateway=192.168.1.2 routing-mark=Lan2Proxy

/ip route rule
add routing-mark=Lan2Proxy table=Lan2Proxy
add dst-address=192.168.0.0/16 table=main
add dst-address=172.16.0.0/16 table=main

omidi

Guest

19.05.2014 08:03:00

Все еще нужна помощь с этим. Думаю, это возможно сделать с помощью policy route, но я не могу разобраться, как именно. Особенно сложно понять, как управлять ответным трафиком от pppoe-out, чтобы направить его на нужный интерфейс. Пожалуйста, помогите, это очень нужно. Спасибо!

Caci99

Guest

19.05.2014 09:55:00

Какой именно сервис вы пытаетесь предоставить через этот прокси? Это http? Или Radius? В любом случае, перенаправлять трафик таким способом не нужно. Для http-сервиса просто добавьте правило dstnat на вашем RB450G в /ip firewall nat:
add chain=dstnat src-address="ваши нужные IP" protocol=tcp dst-port=80 action=dst-nat to addresses=192.168.1.2 to-ports="порт прокси".

omidi

Guest

19.05.2014 10:10:00

Весь HTTP и не HTTP трафик обычных пользователей проходит через прокси-сервер для AAA, мониторинга и управления полосой пропускания. Основная проблема в том, что если я переключаю прокси-сервер в «режим маршрутизации», я не могу понять, как направить обратные пакеты обратно на сервер, если трафик изначально пришёл с этого сервера.

Caci99

Guest

19.05.2014 11:00:00

Что ж, я толком не понял, что за «коробка» у тебя там, но нельзя ли просто поставить её между модемом и RB450G и настроить прямо на этой коробке? Иначе у тебя получается три слоя NAT, а это не очень хорошо. На RB450G тебе понадобится правило для трафика с этой коробки:

/ip firewall nat
chain=srcnat src-address-list="создай свой список адресов" action=src-nat to-addresses=192.168.1.2

Или просто физически раздели устройства — подключай нужные напрямую к своей коробке, чтобы избежать лишнего этапа через RB450G.

AlexS

Guest

19.05.2014 11:02:00

Попробую помочь. Не совсем понимаю, что на картинке, но тебе нужны адреса, которые будут идти через прокси — обычный или прозрачный. А некоторые пользователи должны выходить напрямую. Полагаю, ты определяешь пользователя по IP-адресу? Обычный вариант простой — они ставят прокси сами или используют wpad/автоматическую настройку.

Прозрачный прокси тоже должен быть простым, что-то вроде этого в таблице NAT:

src-address-list=LIST_OF_TPROXY_USERS action=dnat to-dnat-address= to-dnat-port=

Но тебе также нужно (если это не происходит на этом же сервере, который является шлюзом по умолчанию)

src-address-list=LIST_OF_TPROXY_USERS dst-address= action=SNAT to-snat-address=

Вторая строка нужна, чтобы убедиться, что ты делаешь DNAT, и чтобы это касалось только тех пользователей, которые должны использовать прозрачный прокси.

Также можно добавить строку в начале таблицы NAT, например:

src-address-list=LIST_OF_DIRECT_USERS action=accept

Поставь её на самое начало.

omidi Guest	#7 0 20.05.2014 06:21:00 Спасибо, Caci99 и AlexS, что поделились своей идеей. Я пытаюсь понять, что именно мне нужно. Мне не слишком комфортно полностью пускать весь трафик через прокси-сервер. Сейчас я как-то делаю это с двухэтапным NAT: один на прокси-сервере, другой на RB для интерфейса pppoe-out. Сейчас хочу убрать NAT на прокси-сервере, чтобы весь трафик попадал на pppoe-out с их оригинальными IP. Проблема в том, как настроить политику маршрутизации для обратного трафика srcnat на pppoe-out. Весь трафик с LAN (192.168.0.0/24) доходит до pppoe-out с оригинальными IP, но обратный трафик должен маршрутизироваться по политике на основе Address List (Direct Internet). IP-адреса из списка должны идти напрямую в LAN, а остальные — через Proxy WAN (то есть обратно по тому же маршруту, по которому пришли). Для входящего трафика с LAN я это сделал с помощью маркировки маршрутов, маршрутов и правил. Но я не знаю, как сделать такой тип политики маршрутизации для srcnat masquerade.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры