Как настроить работу прокси сервера с mikrotik'ом?

Question

Максим Носков @Ahrenizm

Как настроить работу прокси сервера с mikrotik'ом?

Здравствуйте!
Стоял в одной организации proxy сервер со сквидой, самс2 и одним провайдером. Ходили все через прокси, всё работало хорошо и стабильно. Потом добавили туда второго провайдера в качестве резервного. Поставили микротик RB1100AHx2. Первые 2 порта заняли провайдеры, остальные - локалка. Но обязательным условием было наличие прокси сервера с самсой. Сервер на freebsd. Решили оставить его. В маршрутах прокси сервера прописали в качестве шлюза микротик, а у пользователей в качестве шлюза - прокси сервер + настройки браузера. Но в таком формате достаточно снять галку "использовать прокси" в браузерах и трафик будет проходить мимо сквиды. AD в организации нет. Как реализуют организации работу с прокси в таком режиме? Т.е. когда необходимо следить за трафиком пользователей и контролировать ежемесячные нормы.

Вопрос задан более трёх лет назад
13536 просмотров

Комментировать

Подписаться 3 Оценить Комментировать

Решения вопроса 1

6 комментариев

Максим Носков @Ahrenizm Автор вопроса

Можно теперь построчно разберу? А то есть несколько вопросов...
/ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80,3128,8080,8081 protocol=tcp src-address=!АДРЕС_ПРОКСИ to-ports=3128
здесь получается мы весь входящий трафик по перечисленным портам направляем на прокси-сервер на 3128 порт. Указываем что трафик нужен, который не предназначается для локальной сети и на какие порты пришёл. Источником является не прокси-сервер. Нигде вроде не ошибся? Т.е. получается это правило для входящего трафика?

/ip proxy set cache-administrator=support@domain.com cache-path=web-proxy1 enabled=yes max-cache-size=none parent-proxy=АДРЕС_ПРОКСИ parent-proxy-port=3128 port=3128
здесь мы указывает адрес техподдержки, включаем режим прокси на микротике, указываем куда перенаправлять все запросы для прокси и на какой порт. Правильно?

/ip proxy access add src-address=192.168.0.0/16
здесь указывается лист, кому разрешён переход по прокси микротику. Правивильно?

Т.е. получается что весь исходящий трафик, в случае если он не прошёл через сквиду будет идти по прокси микротика на сквиду и уже потом в интернет?
А если вообще на всех компах убрать упоминание про прокси в браузерах, микротик всех будет перенаправлять на сквиду?

По поводу нюанса: в сквиде представляю как это сделать, а вот с привязанной к нему самсой сложности. Самса же будет постоянно менять конфиг.

Написано более трёх лет назад
Андрей @GhOsT_MZ

Все верно, это режим прозрачного прокси, когда клиенты настраивать нет необходимости.
Ну тут ничего не сделаешь, так как если не добавить эти строки в конфиг сквида, то все будет работать, только не будет разделения пользователей, будет один пользователь - микротик. Так что, надо искать выход. Тут не подскажу, так как SAMS никогда не использовал.

Написано более трёх лет назад
Максим Носков @Ahrenizm Автор вопроса

А в такой системе авторизация по ip, ncsa работать будет?

Написано более трёх лет назад
Андрей @GhOsT_MZ

Пока не добавятся настройки, которые я выше привел, авторизации по IP не будет. Что такое ncsa?

Написано более трёх лет назад
Максим Носков @Ahrenizm Автор вопроса

авторизация по логину/паролю

Написано более трёх лет назад
Андрей @GhOsT_MZ

Максим Носков: хм, ну если я правильно понял, и это типичный HTTP basic authentication, то будет работать

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Proxy

Сложный
Возможно ли с помощью traceroute определить, что пользователь использует прокси?
- 1 подписчик
- 2 часа назад
- 25 просмотров
1

ответ
Компьютерные сети

+2 ещё

Простой
Как пробросить RTSP видеопоток в другую подсеть?
- 1 подписчик
- вчера
- 143 просмотра
1

ответ
Компьютерные сети

+2 ещё

Простой
Как сделать чтобы разные субдомены вели на разные порты одного ip адреса?
- 2 подписчика
- вчера
- 301 просмотр
1

ответ
Mikrotik

Простой
Степень изношенности NAND-памяти Mikrotik?
- 1 подписчик
- вчера
- 175 просмотров
0

ответов
Компьютерные сети

+4 ещё

Средний
Как сделать сервер видимый для рабочей группы в другой сети?
- 2 подписчика
- 21 апр.
- 245 просмотров
4

ответа
Компьютерные сети

+3 ещё

Средний
Как получить полную скорость от cisco 2921?
- 1 подписчик
- 20 апр.
- 166 просмотров
2

ответа
Proxy

Сложный
Как сделать конфиг для 3proxy с распределением по url на разные прокси?
- 3 подписчика
- 19 апр.
- 825 просмотров
1

ответ
Mikrotik

+1 ещё

Средний
Firewall Mikrotik правило блокировки по портам заблокировал магазин хром, почему?
- 3 подписчика
- 19 апр.
- 470 просмотров
0

ответов
VPN

+1 ещё

Средний
Openvpn насколько хорошо сжимает весь трафик?
- 1 подписчик
- 19 апр.
- 130 просмотров
2

ответа
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- 18 апр.
- 128 просмотров
2

ответа
Показать ещё Загружается…

Специалист технической поддержки (работа из офиса г.Казань)

Данафлекс • Казань

от 60 000 ₽

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Эксперт Oracle DBA

Softline • Москва

от 300 000 ₽

Анимация логотипа

24 апр. 2024, в 00:08

20000 руб./за проект

Разработка дизайна раздела «Статьи» на сайте «Мир отходов»

23 апр. 2024, в 23:01

10000 руб./за проект

Дизайн личного кабинета (клиентская часть)

23 апр. 2024, в 22:37

500 руб./в час

Answer 1 · 2016-03-16 10:05:08

Все просто, настроить прозрачный прокси.

/ip firewall nat
add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80,3128,8080,8081 protocol=tcp src-address=!АДРЕС_ПРОКСИ to-ports=3128

/ip proxy
set cache-administrator=support@domain.com cache-path=web-proxy1 enabled=yes max-cache-size=none parent-proxy=АДРЕС_ПРОКСИ parent-proxy-port=3128 port=3128
/ip proxy access
add src-address=192.168.0.0/16

Забыл еще один ньюанс, при такой схеме микротик добавляет заголовок X-Forwarded-For в котором адрес клиента, чтобы сквид мог читать его, нужно добавить в его конфигурацию следующее:

acl mikrotik_gw src АДРЕС_МИКРОТИКА
follow_x_forwarded_for allow mikrotik_gw
follow_x_forwarded_for deny all

Как настроить работу прокси сервера с mikrotik'ом?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт