Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Mikrotik: Transparenter Proxy und policy based routing - geht das?

Mitglied: whitbread

whitbread (Level 1) - Jetzt verbinden

01.02.2015, aktualisiert 17.02.2015, 1932 Aufrufe, 6 Kommentare, 1 Danke

Ich benutze einen Mikrotik-Router zur Einwahl ins Internet. Dieser dient gleichzeitig als transparenter Web-Proxy, um gewisse Inhalte zu blockieren.

Jetzt möchte ich meinen HTTP-Traffic aber gleichzeitig über ein anderes Gateway leiten - geht das überhaupt?!?

Aktueller Ansatz ist per Mangle Rule in der prerouting chain ein Routing-Mark zu setzen und die entsprechende Route aufzusetzen. Durch die NAT Rule, die den gleichen traffic dann aber auf den lokalen Port des Proxies umleitet (redirect) scheint es da aber einen Konflikt zu geben. Ohne die NAT-Regel funktioniert das Routing über das andere Gateway...

Gibt es eine Idee, wie ich das lösen kann?!?
Mitglied: whitbread
03.02.2015 um 00:13 Uhr
Danke erstmal.

Hab obiges mal umgesetzt: Jetzt habe ich zwar zwei Queues für Webtraffic up und down, jedoch noch keine Idee, wie ich HTTP-Traffic über ein alternatives Gateway schicken kann, wenn ich diesen traffic ebenfall über den Proxy (per redirect) leiten möchte...
Bitte warten ..
Mitglied: colinardo
LÖSUNG 11.02.2015, aktualisiert 17.02.2015
Hallo whitbread,
also ich habe dein Setup hier mal durchgespielt, und funktioniert eigentlich problemlos. Habe hier im Test zwei Gateways, einmal über ether1 und ein zweites über einen 3G-USB-Stick.

Folgende Config habe ich (Im Beispiel leite ich nur das Netz 192.168.3.0/24 über den Proxy):
NAT-Regel für Proxy Redirect
01.
/ip firewall nat 
02.
add action=redirect chain=dstnat comment="transparent proxy redirect" \ 
03.
    dst-port=80 protocol=tcp src-address=192.168.3.0/24 to-ports=8080
Mangle Rule
01.
/ip firewall mangle 
02.
add action=mark-routing chain=prerouting new-routing-mark=from_proxy \ 
03.
    protocol=tcp src-address=192.168.3.0/24
Routing Einträge
01.
/ip route 
02.
add distance=1 gateway=192.168.1.1 
03.
add distance=2 gateway=3G-Dial routing-mark=from_proxy
Proxy
01.
/ip proxy 
02.
set cache-path=web-proxy1 enabled=yes
Damit läuft bei meinen Tests nur der Traffic des 192.168.3.0/24 Netzes erst durch den Proxy und dann über die 3G Verbindung ins Internet. Jeglicher anderer Traffic läuft normal über ether1.

Grüße Uwe
Bitte warten ..
Mitglied: whitbread
14.02.2015 um 12:13 Uhr
Danke für Deine Antwort. Sieht ja alles ganz klar und logisch aus.

Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?
Bitte warten ..
Mitglied: colinardo
14.02.2015, aktualisiert um 18:00 Uhr
Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?
Ich habe hier auf beiden WAN-Interfaces masquerading aktiv (out-Interface), damit läuft das problemlos. Wäre mal nett wenn du deine Config posten könntest, sonst ist das hier alles nur Spekulation. Danke!
Da es hier mit einer cleanen und neu aufgesetzten Config einwandfrei läuft, muss es also an deiner persönlichen Config liegen!
Ansonsten Traffic des MK aufzeichnen oder mit Wireshark analysieren, wohin bei dir welche Pakete laufen.

Grüße Uwe
Bitte warten ..
Mitglied: whitbread
17.02.2015 um 20:15 Uhr
Danke nochmals: Also ich fürchte, die Ursache muss woanders liegen.

Werde das erstmal nochmal unter Laborbedingungen testen, da meine Config inzwischen recht komplex ist.

Ich vermute, dass mein 2. Gateway so gar nicht funktioniert...
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Raspberry Pi (Open)VPN Policy Based Routing

Frage von Swenni2kRouter & Routing13 Kommentare

Hallo zusammen, versuche mich gerade daran meinem Pi zu "erklären", dass er das Routing über VPN und normal DSL ...

LAN, WAN, Wireless

Mehrere WAN-Adressen bei LANCOM und Policy-based Routing

gelöst Frage von vBurakLAN, WAN, Wireless13 Kommentare

Hallo, ein Kunde hat endlich einen SDSL-Anschluss (Company Connect) bekommen bei dem 8 IP-Adressen (minus 3 für Gateway, Brodcast ...

Netzwerkmanagement

Policy Based Routing mit PfSense zwischen LTE und DSL

gelöst Frage von istike2Netzwerkmanagement16 Kommentare

Hallo, wir werden in Kürze zwei IProvider haben, durch DSL und LTE. LTE kommt durch einen ProRoute DualSIM Router ...

Router & Routing

Transparenter Proxy funktioniert nicht?

Frage von mrserious73Router & Routing3 Kommentare

Hallo, habe hier eine pfSense mit verschiedenen VLANs am laufen. Auf dieser habe ich u.a. Squid als transparenten Proxy ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 13 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 16 StundenAdministrator.de Feedback11 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...