Mikrotik: Transparenter Proxy und policy based routing - geht das?
Ich benutze einen Mikrotik-Router zur Einwahl ins Internet. Dieser dient gleichzeitig als transparenter Web-Proxy, um gewisse Inhalte zu blockieren.
Jetzt möchte ich meinen HTTP-Traffic aber gleichzeitig über ein anderes Gateway leiten - geht das überhaupt?!?
Aktueller Ansatz ist per Mangle Rule in der prerouting chain ein Routing-Mark zu setzen und die entsprechende Route aufzusetzen. Durch die NAT Rule, die den gleichen traffic dann aber auf den lokalen Port des Proxies umleitet (redirect) scheint es da aber einen Konflikt zu geben. Ohne die NAT-Regel funktioniert das Routing über das andere Gateway...
Gibt es eine Idee, wie ich das lösen kann?!?
Jetzt möchte ich meinen HTTP-Traffic aber gleichzeitig über ein anderes Gateway leiten - geht das überhaupt?!?
Aktueller Ansatz ist per Mangle Rule in der prerouting chain ein Routing-Mark zu setzen und die entsprechende Route aufzusetzen. Durch die NAT Rule, die den gleichen traffic dann aber auf den lokalen Port des Proxies umleitet (redirect) scheint es da aber einen Konflikt zu geben. Ohne die NAT-Regel funktioniert das Routing über das andere Gateway...
Gibt es eine Idee, wie ich das lösen kann?!?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 261970
Url: https://administrator.de/forum/mikrotik-transparenter-proxy-und-policy-based-routing-geht-das-261970.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo whitbread,
also ich habe dein Setup hier mal durchgespielt, und funktioniert eigentlich problemlos. Habe hier im Test zwei Gateways, einmal über ether1 und ein zweites über einen 3G-USB-Stick.
Folgende Config habe ich (Im Beispiel leite ich nur das Netz 192.168.3.0/24 über den Proxy):
Damit läuft bei meinen Tests nur der Traffic des 192.168.3.0/24 Netzes erst durch den Proxy und dann über die 3G Verbindung ins Internet. Jeglicher anderer Traffic läuft normal über ether1.
Grüße Uwe
also ich habe dein Setup hier mal durchgespielt, und funktioniert eigentlich problemlos. Habe hier im Test zwei Gateways, einmal über ether1 und ein zweites über einen 3G-USB-Stick.
Folgende Config habe ich (Im Beispiel leite ich nur das Netz 192.168.3.0/24 über den Proxy):
NAT-Regel für Proxy Redirect
/ip firewall nat
add action=redirect chain=dstnat comment="transparent proxy redirect" \
dst-port=80 protocol=tcp src-address=192.168.3.0/24 to-ports=8080
Mangle Rule
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=from_proxy \
protocol=tcp src-address=192.168.3.0/24
Routing Einträge
/ip route
add distance=1 gateway=192.168.1.1
add distance=2 gateway=3G-Dial routing-mark=from_proxy
Proxy
/ip proxy
set cache-path=web-proxy1 enabled=yes
Grüße Uwe
Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?
Ich habe hier auf beiden WAN-Interfaces masquerading aktiv (out-Interface), damit läuft das problemlos. Wäre mal nett wenn du deine Config posten könntest, sonst ist das hier alles nur Spekulation. Danke!Da es hier mit einer cleanen und neu aufgesetzten Config einwandfrei läuft, muss es also an deiner persönlichen Config liegen!
Ansonsten Traffic des MK aufzeichnen oder mit Wireshark analysieren, wohin bei dir welche Pakete laufen.
Grüße Uwe