MikroTik: как перенаправить трафик на (TL-MR3020 + 4G модем)?

Question

dpavlovskiy @dpavlovskiy

MikroTik: как перенаправить трафик на (TL-MR3020 + 4G модем)?

Добрый день!

Есть роутер MikroTik, к нему через ether2 подключен маршрутизатор TL-MR3020 с 4G модемом.
На MikroTik, в разъем ether1 - подключен интернет со статическим ip: 109.167.131.88

Как сделать что-то типа прокси, что бы при обращении на 109.167.131.88:5100 - трафик перенаправлялся на 4G модем и обратно? То есть, при обращении на статический ip с портом выходить в интернет через соответствующий порту 4G модем.
Хочется подключить несколько таких прокси:
ether1 (109.167.131.88:5100) <-> ether2 (TL-MR3020 + 4G)
ether1 (109.167.131.88:5101) <-> ether3 (TL-MR3020 + 4G)

Заранее спасибо!

Вопрос задан более трёх лет назад
1420 просмотров

Комментировать

Подписаться 1 Средний Комментировать

Пригласить эксперта

Ответы на вопрос 4

1 комментарий

5 комментариев

dpavlovskiy @dpavlovskiy Автор вопроса

Akelsey, хочу уточнить, допустим клиент - это FireFox, в настройках которого я указываю прокси 109.167.131.88:5100 (конечно порт не принципиально именно этот), далее я должен попасть на MikroTik (ether1), далее через (ether2) на TL-MR3020 с установленным 4G (в интернет).
Вы говорите, что это не реализуемо? То есть, такой маршрут в прицепе не возможен?

Хорошо, если это будет 2 Ethernet канала, подключеных к MikroTik:
1) (ether1) со статическим адресом 109.167.131.88
2) (ether2) со статическим адресом 109.167.131.86

Как настроить MikroTik, что бы при запросе на 109.167.131.88:5100, выйти в интернет через 109.167.131.86?
И если это возможно, то в чём тогда отличие от схемы, где вместо второго ip (109.167.131.86) перенаправление на TL-MR3020?

Грубо говоря, мне нужен мобильный прокси.

Заранее спасибо, и извините если что-то пишу не так. Я не профессионал в сетях)

Написано более трёх лет назад
Gregory @Maxlinus

тут "допустим" не подойдёт, вы будете web трафик кидать или какой-то другой?

Написано более трёх лет назад
dpavlovskiy @dpavlovskiy Автор вопроса

Maxlinus, это будут CURL запросы для работы с API Instagram

Написано более трёх лет назад
akelsey @akelsey

dpavlovskiy, тогда простейший способ это правила маршрутизации.
Смотрим соурс (именно машина для курл запросов) - маркируем их, и роутим через второй канал.
Либо поднимаем на 3020 прокси (надеюсь там опенврт или леде?) и в курл запросе указываем прокси-сервер.

Написано более трёх лет назад
dpavlovskiy @dpavlovskiy Автор вопроса
akelsey, Спасибо за ответ!
Подскажите пожалуйста, так будет правильно?

/ip firewall nat add action=dst-nat chain=dstnat comment=test dst-port=5100 in-interface=ether1 protocol=tcp to-addresses=192.168.10.101 to-ports=443

/ip firewall Mangle add chain=prerouting dst-address=109.167.131.88 dst-port=5100 action=mark-routing new-routing-mark=ProxyMark

Что то еще нужно? Может что-то в Ip Route?
На руйтере, на который уходит трафик что то нужно настроить?
192.168.10.101 - это его DHCP. Может я и тут что то не так делаю...
Я совсем не профессионал в сетях, по этому каждая буква мне дается с трудом)

PS:
Настроил по этой схеме. В настройках proxy в Chrome ввел 109.167.131.88:51000 - при обращении к любому сайту, в админке Микротика в разделе Interfaces видно, что пакеты на ether2 (192.168.10.101) - приходят, но в браузере ошибка "The proxy server is refusing connections". Так же настроил Route - опят же, не уверен что правильно... Скрин прилагаю.
Написано более трёх лет назад

4 комментария

dpavlovskiy @dpavlovskiy Автор вопроса

Дмитрий, спасибо за ответ!
Я думал может быть получится что-то типа этого:
/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-port=51000 in-interface=ether1 protocol=tcp to-addresses=192.168.10.1 to-ports=1-65000

Или может action=redirect?

Написано более трёх лет назад
Дмитрий Шицков @Zarom

dpavlovskiy, не заработает... Вы таким правилом с одного порта направите трафик на случайный порт из диапазона 1-65000

Написано более трёх лет назад
dpavlovskiy @dpavlovskiy Автор вопроса

Дмитрий Шицков, А если:
/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-port=51000 in-interface=ether1 protocol=tcp to-addresses=192.168.10.101 to-ports=443

Может Вы можете предложить рабочий вариант?)

Написано более трёх лет назад
Дмитрий Шицков @Zarom

dpavlovskiy, так сработает, но вам пр дется ко всем адресам сайтов вручную порт дописывать. Как прокси не заработает

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Mikrotik

+1 ещё

Средний
Firewall Mikrotik правило блокировки по портам заблокировал магазин хром, почему?
- 3 подписчика
- 19 часов назад
- 245 просмотров
0

ответов
Windows Server

+2 ещё

Средний
Как восстановить работу Active Directory в связке Mikrotik + Windows Server?
- 2 подписчика
- 17 апр.
- 202 просмотра
1

ответ
Компьютерные сети

+2 ещё

Простой
Какой набор оборудования нужен для соединения двух роутеров Mikrotik RouterBOARD 2011iL на расстоянии более 120 м?
- 3 подписчика
- 16 апр.
- 3238 просмотров
6

ответов
macOS

+2 ещё

Простой
Mikrotik l2tp/ipsec VPN не работает на macOS, но работает на Win?
- 1 подписчик
- 10 апр.
- 124 просмотра
1

ответ
Компьютерные сети

+1 ещё

Средний
Почему нет связи со шлюзом в одной подсети?
- 1 подписчик
- 09 апр.
- 277 просмотров
1

ответ
TP-Link

Средний
Почему не меняется ip через wi fi адаптер?
- 1 подписчик
- 08 апр.
- 81 просмотр
2

ответа
Компьютерные сети

+2 ещё

Сложный
Реализация NAT в сети с mikrotik crs326?
- 1 подписчик
- 04 апр.
- 244 просмотра
2

ответа
Сетевое оборудование

+1 ещё

Средний
MikroTik, есть ли инструкция по правильной настройке IS-IS?
- 5 подписчиков
- 01 апр.
- 4316 просмотров
1

ответ
Mikrotik

+1 ещё

Средний
Mikrotik, не поднимается туннель после перезагрузки или после падения туннеля, что может быть?
- 1 подписчик
- 01 апр.
- 178 просмотров
1

ответ
Mikrotik

+2 ещё

Средний
Почему перестаёт работать рдп у клиентов микротик?
- 1 подписчик
- 31 мар.
- 279 просмотров
5

ответов
Показать ещё Загружается…

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Системный администратор

Глобал Смарт Системс • Санкт-Петербург

от 100 000 до 120 000 ₽

Backend Developer в бьюти-платформу LUUK

УК «Решения» • Москва

от 200 000 ₽

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Разработать формирование УПД на Java

20 апр. 2024, в 00:28

20000 руб./за проект

Answer 1 · 2018-05-29 20:15:03

Gregory @Maxlinus

ваашее не понятно что вы хотите получить:)
вам надо на web морду модема попадать или куда?

Ответ написан более трёх лет назад

1 комментарий

Answer 2 · 2018-05-29 22:23:20

То что вы описываете не реализуемо. Т.е. вы каким-то образом хотите стукнутся на порт 5100, никак не настраивая на клиенте ничего? И что б трафик гулял по другому маршруту. Невозможно.
Если же вам нужно просто при обращении на 109.167.131.88:5100 например по RDP пробросить трафик не через default gateway - то можно.
Но что бы ответит на вопрос, нужно сформулировать его правильно.

Answer 3 · 2018-05-30 08:24:28

На Mikrotik вам не удастся провернуть данный трюк с прокси, т.к. ROS может запустить лишь один инстанс прокси-сервера, а значит нет никаких параметров, по которым можно было бы определить, куда направить трафик после прохождения прокси. Есть лишь вариант направлять трафик forward черкз один шлюз, а трафик output (локальный, с прокси) через другой.

Answer 4 · 2018-05-31 19:20:15

Дополнительные данные:

ether1 - статический ip: 109.167.131.88 (на который делаем запрос из интернета на порт 51000)
ether4 = роутер, на который хочется перенаправить трафик (dhcp ip: 192.168.1.110, gateway: 192.168.1.1)

Даже есть делать входящий порт 80 или 443 или любой другой, то результата нет.

Сейчас настроено так:

/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-port=51000 in-interface=ether1 protocol=tcp to-addresses=192.168.1.110 to-ports=443

/ip firewall Mangle
add chain=prerouting dst-address=109.167.131.88 protocol=tcp dst-port=51000 action=mark-routing new-routing-mark=ProxyMark

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether4 routing-mark= ProxyMark scope=30 target-scope=10

Лог такой:

19:03:17 firewall,info prerouting: in:ether1 out:(unknown 0), src-mac 00:1b:0d:ed:5b:c0, proto TCP (SYN), 188.170.74.70:35586->109.167.131.88:51000, NAT 188.170.74.70:35586->(109.167.131.88:51000->192.168.1.110:443), len 64
19:03:18 firewall,info prerouting: in:ether1 out:(unknown 0), src-mac 00:1b:0d:ed:5b:c0, proto TCP (SYN), 188.170.74.70:26060->109.167.131.88:51000, NAT 188.170.74.70:26060->(109.167.131.88:51000->192.168.1.110:443), len 64
19:03:18 firewall,info prerouting: in:ether1 out:(unknown 0), src-mac 00:1b:0d:ed:5b:c0, proto TCP (SYN), 188.170.74.70:31894->109.167.131.88:51000, NAT 188.170.74.70:31894->(109.167.131.88:51000->192.168.1.110:443), len 64
19:03:18 firewall,info prerouting: in:ether1 out:(unknown 0), src-mac 00:1b:0d:ed:5b:c0, proto TCP (SYN), 188.170.74.70:35586->109.167.131.88:51000, NAT 188.170.74.70:35586->(109.167.131.88:51000->192.168.1.110:443), len 6

Если попробовать сделать так:

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark= ProxyMark scope=30 target-scope=10

То есть сменить ether4 на 192.168.1.1, то пишет: "192.168.1.1 unreachable"
Хотя это gateway роутера, на который нужно отправить трафик...
/ip route - вообще должен видеть gateway 192.168.1.1?
Если сменить обратно на ether4, получаем - "reachable".

По моему, не проходит трафик на роутер (192.168.1.110 ether4)
Уже всю голову сломал... Please help!)

MikroTik: как перенаправить трафик на (TL-MR3020 + 4G модем)?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт