Mikrotik: Transparenter Proxy und policy based routing - geht das?

Ich benutze einen Mikrotik-Router zur Einwahl ins Internet. Dieser dient gleichzeitig als transparenter Web-Proxy, um gewisse Inhalte zu blockieren.

Jetzt möchte ich meinen HTTP-Traffic aber gleichzeitig über ein anderes Gateway leiten - geht das überhaupt?!?

Aktueller Ansatz ist per Mangle Rule in der prerouting chain ein Routing-Mark zu setzen und die entsprechende Route aufzusetzen. Durch die NAT Rule, die den gleichen traffic dann aber auf den lokalen Port des Proxies umleitet (redirect) scheint es da aber einen Konflikt zu geben. Ohne die NAT-Regel funktioniert das Routing über das andere Gateway...

Gibt es eine Idee, wie ich das lösen kann?!?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 261970

Url: https://administrator.de/contentid/261970

Ausgedruckt am: 17.11.2024 um 17:11 Uhr

6 Kommentare

Neuester Kommentar

http://wiki.mikrotik.com/wiki/Queue_with_Masquerading_and_Internal_Web- ...
Gruß jodel32

Danke erstmal.

Hab obiges mal umgesetzt: Jetzt habe ich zwar zwei Queues für Webtraffic up und down, jedoch noch keine Idee, wie ich HTTP-Traffic über ein alternatives Gateway schicken kann, wenn ich diesen traffic ebenfall über den Proxy (per redirect) leiten möchte...

Hallo whitbread,
also ich habe dein Setup hier mal durchgespielt, und funktioniert eigentlich problemlos. Habe hier im Test zwei Gateways, einmal über ether1 und ein zweites über einen 3G-USB-Stick.

Folgende Config habe ich (Im Beispiel leite ich nur das Netz 192.168.3.0/24 über den Proxy):

NAT-Regel für Proxy Redirect

/ip firewall nat
add action=redirect chain=dstnat comment="transparent proxy redirect" \  
    dst-port=80 protocol=tcp src-address=192.168.3.0/24 to-ports=8080

Mangle Rule

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=from_proxy \
    protocol=tcp src-address=192.168.3.0/24

Routing Einträge

/ip route
add distance=1 gateway=192.168.1.1
add distance=2 gateway=3G-Dial routing-mark=from_proxy

Proxy

/ip proxy
set cache-path=web-proxy1 enabled=yes

Damit läuft bei meinen Tests nur der Traffic des 192.168.3.0/24 Netzes erst durch den Proxy und dann über die 3G Verbindung ins Internet. Jeglicher anderer Traffic läuft normal über ether1.

Grüße Uwe

Danke für Deine Antwort. Sieht ja alles ganz klar und logisch aus.

Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?

Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?

Ich habe hier auf beiden WAN-Interfaces masquerading aktiv (out-Interface), damit läuft das problemlos. Wäre mal nett wenn du deine Config posten könntest, sonst ist das hier alles nur Spekulation. Danke!
Da es hier mit einer cleanen und neu aufgesetzten Config einwandfrei läuft, muss es also an deiner persönlichen Config liegen!
Ansonsten Traffic des MK aufzeichnen oder mit Wireshark analysieren, wohin bei dir welche Pakete laufen.

Grüße Uwe

Danke nochmals: Also ich fürchte, die Ursache muss woanders liegen.

Werde das erstmal nochmal unter Laborbedingungen testen, da meine Config inzwischen recht komplex ist.

Ich vermute, dass mein 2. Gateway so gar nicht funktioniert...

gelöst Frage Sonstige Systeme MikroTik

Mehr von whitbread

Fritzbox 7412 - redundante Routen und Portfreigabenwhitbread - 8 Kommentare

Private IP wird öffentlich geroutedwhitbread - 9 Kommentare

Mikrotik Wireless Bridge + VLANwhitbread - 2 Kommentare

Transparente Firewall mit VLANswhitbread - 2 Kommentare

Heiß diskutiert