whitbread
Feb 01, 2015, updated at Feb 17, 2015 (UTC)
view3850
view6
0
Goto Top

Mikrotik: Transparenter Proxy und policy based routing - geht das?

GermansolvedQuestionMikroTikOther systems
Ich benutze einen Mikrotik-Router zur Einwahl ins Internet. Dieser dient gleichzeitig als transparenter Web-Proxy, um gewisse Inhalte zu blockieren.

Jetzt möchte ich meinen HTTP-Traffic aber gleichzeitig über ein anderes Gateway leiten - geht das überhaupt?!?

Aktueller Ansatz ist per Mangle Rule in der prerouting chain ein Routing-Mark zu setzen und die entsprechende Route aufzusetzen. Durch die NAT Rule, die den gleichen traffic dann aber auf den lokalen Port des Proxies umleitet (redirect) scheint es da aber einen Konflikt zu geben. Ohne die NAT-Regel funktioniert das Routing über das andere Gateway...

Gibt es eine Idee, wie ich das lösen kann?!?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 261970

Url: https://administrator.de/contentid/261970

Printed on: April 19, 2024 at 08:04 o'clock

6 Comments
Latest comment
Goto Top
Mitglied: 114757
114757 Feb 02, 2015 at 10:51:38 (UTC)
Goto Top
http://wiki.mikrotik.com/wiki/Queue_with_Masquerading_and_Internal_Web- ...
Gruß jodel32
Member: whitbread
whitbread Feb 02, 2015 at 23:13:09 (UTC)
Goto Top
Danke erstmal.

Hab obiges mal umgesetzt: Jetzt habe ich zwar zwei Queues für Webtraffic up und down, jedoch noch keine Idee, wie ich HTTP-Traffic über ein alternatives Gateway schicken kann, wenn ich diesen traffic ebenfall über den Proxy (per redirect) leiten möchte...
Member: colinardo
Solution colinardo Feb 11, 2015, updated at Feb 17, 2015 at 19:11:44 (UTC)
Goto Top
Hallo whitbread,
also ich habe dein Setup hier mal durchgespielt, und funktioniert eigentlich problemlos. Habe hier im Test zwei Gateways, einmal über ether1 und ein zweites über einen 3G-USB-Stick.

Folgende Config habe ich (Im Beispiel leite ich nur das Netz 192.168.3.0/24 über den Proxy):
back-to-topNAT-Regel für Proxy Redirect
/ip firewall nat
add action=redirect chain=dstnat comment="transparent proxy redirect" \  
    dst-port=80 protocol=tcp src-address=192.168.3.0/24 to-ports=8080
back-to-topMangle Rule
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=from_proxy \
    protocol=tcp src-address=192.168.3.0/24
back-to-topRouting Einträge
/ip route
add distance=1 gateway=192.168.1.1
add distance=2 gateway=3G-Dial routing-mark=from_proxy
back-to-topProxy
/ip proxy
set cache-path=web-proxy1 enabled=yes
Damit läuft bei meinen Tests nur der Traffic des 192.168.3.0/24 Netzes erst durch den Proxy und dann über die 3G Verbindung ins Internet. Jeglicher anderer Traffic läuft normal über ether1.

Grüße Uwe
heart1
Member: whitbread
whitbread Feb 14, 2015 at 11:13:57 (UTC)
Goto Top
Danke für Deine Antwort. Sieht ja alles ganz klar und logisch aus.

Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?
Member: colinardo
colinardo Feb 14, 2015 updated at 17:00:01 (UTC)
Goto Top
Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?
Ich habe hier auf beiden WAN-Interfaces masquerading aktiv (out-Interface), damit läuft das problemlos. Wäre mal nett wenn du deine Config posten könntest, sonst ist das hier alles nur Spekulation. Danke!
Da es hier mit einer cleanen und neu aufgesetzten Config einwandfrei läuft, muss es also an deiner persönlichen Config liegen!
Ansonsten Traffic des MK aufzeichnen oder mit Wireshark analysieren, wohin bei dir welche Pakete laufen.

Grüße Uwe
Member: whitbread
whitbread Feb 17, 2015 at 19:15:36 (UTC)
Goto Top
Danke nochmals: Also ich fürchte, die Ursache muss woanders liegen.

Werde das erstmal nochmal unter Laborbedingungen testen, da meine Config inzwischen recht komplex ist.

Ich vermute, dass mein 2. Gateway so gar nicht funktioniert...
GermansolvedQuestionMikroTikOther systems
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 2 CommentsgleixnerdCheck of ZFW Firewallgleixnerd - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment