whitbread
Goto Top

Mikrotik: Transparenter Proxy und policy based routing - geht das?

Ich benutze einen Mikrotik-Router zur Einwahl ins Internet. Dieser dient gleichzeitig als transparenter Web-Proxy, um gewisse Inhalte zu blockieren.

Jetzt möchte ich meinen HTTP-Traffic aber gleichzeitig über ein anderes Gateway leiten - geht das überhaupt?!?

Aktueller Ansatz ist per Mangle Rule in der prerouting chain ein Routing-Mark zu setzen und die entsprechende Route aufzusetzen. Durch die NAT Rule, die den gleichen traffic dann aber auf den lokalen Port des Proxies umleitet (redirect) scheint es da aber einen Konflikt zu geben. Ohne die NAT-Regel funktioniert das Routing über das andere Gateway...

Gibt es eine Idee, wie ich das lösen kann?!?

Content-ID: 261970

Url: https://administrator.de/forum/mikrotik-transparenter-proxy-und-policy-based-routing-geht-das-261970.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

114757
114757 02.02.2015 um 11:51:38 Uhr
Goto Top
whitbread
whitbread 03.02.2015 um 00:13:09 Uhr
Goto Top
Danke erstmal.

Hab obiges mal umgesetzt: Jetzt habe ich zwar zwei Queues für Webtraffic up und down, jedoch noch keine Idee, wie ich HTTP-Traffic über ein alternatives Gateway schicken kann, wenn ich diesen traffic ebenfall über den Proxy (per redirect) leiten möchte...
colinardo
Lösung colinardo 11.02.2015, aktualisiert am 17.02.2015 um 20:11:44 Uhr
Goto Top
Hallo whitbread,
also ich habe dein Setup hier mal durchgespielt, und funktioniert eigentlich problemlos. Habe hier im Test zwei Gateways, einmal über ether1 und ein zweites über einen 3G-USB-Stick.

Folgende Config habe ich (Im Beispiel leite ich nur das Netz 192.168.3.0/24 über den Proxy):
back-to-topNAT-Regel für Proxy Redirect
/ip firewall nat
add action=redirect chain=dstnat comment="transparent proxy redirect" \  
    dst-port=80 protocol=tcp src-address=192.168.3.0/24 to-ports=8080
back-to-topMangle Rule
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=from_proxy \
    protocol=tcp src-address=192.168.3.0/24
back-to-topRouting Einträge
/ip route
add distance=1 gateway=192.168.1.1
add distance=2 gateway=3G-Dial routing-mark=from_proxy
back-to-topProxy
/ip proxy
set cache-path=web-proxy1 enabled=yes
Damit läuft bei meinen Tests nur der Traffic des 192.168.3.0/24 Netzes erst durch den Proxy und dann über die 3G Verbindung ins Internet. Jeglicher anderer Traffic läuft normal über ether1.

Grüße Uwe
whitbread
whitbread 14.02.2015 um 12:13:57 Uhr
Goto Top
Danke für Deine Antwort. Sieht ja alles ganz klar und logisch aus.

Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?
colinardo
colinardo 14.02.2015 aktualisiert um 18:00:01 Uhr
Goto Top
Leider funktioniert das bei mir nicht. Kann das bei mir aktivierte masquerading Ursache dafür sein?!?
Ich habe hier auf beiden WAN-Interfaces masquerading aktiv (out-Interface), damit läuft das problemlos. Wäre mal nett wenn du deine Config posten könntest, sonst ist das hier alles nur Spekulation. Danke!
Da es hier mit einer cleanen und neu aufgesetzten Config einwandfrei läuft, muss es also an deiner persönlichen Config liegen!
Ansonsten Traffic des MK aufzeichnen oder mit Wireshark analysieren, wohin bei dir welche Pakete laufen.

Grüße Uwe
whitbread
whitbread 17.02.2015 um 20:15:36 Uhr
Goto Top
Danke nochmals: Also ich fürchte, die Ursache muss woanders liegen.

Werde das erstmal nochmal unter Laborbedingungen testen, da meine Config inzwischen recht komplex ist.

Ich vermute, dass mein 2. Gateway so gar nicht funktioniert...