MikroTik: как перенаправить трафик на (TL-MR3020 + 4G модем)?

Question

[dpavlovskiy]

Добрый день!

Есть роутер MikroTik, к нему через ether2 подключен маршрутизатор TL-MR3020 с 4G модемом.
На MikroTik, в разъем ether1 - подключен интернет со статическим ip: 109.167.131.88

Как сделать что-то типа прокси, что бы при обращении на 109.167.131.88:5100 - трафик перенаправлялся на 4G модем и обратно? То есть, при обращении на статический ip с портом выходить в интернет через соответствующий порту 4G модем.
Хочется подключить несколько таких прокси:
ether1 (109.167.131.88:5100) <-> ether2 (TL-MR3020 + 4G)
ether1 (109.167.131.88:5101) <-> ether3 (TL-MR3020 + 4G)

Заранее спасибо!

Answer 1

[Gregory]

ваашее не понятно что вы хотите получить:)
вам надо на web морду модема попадать или куда?

Comments

[dpavlovskiy]

При обращении на ether1 (109.167.131.88:5100) - выйти в интернет через 4G модем
Разные порты должны вести на разные 4G модемы

Answer 2

[akelsey]

То что вы описываете не реализуемо. Т.е. вы каким-то образом хотите стукнутся на порт 5100, никак не настраивая на клиенте ничего? И что б трафик гулял по другому маршруту. Невозможно.
Если же вам нужно просто при обращении на 109.167.131.88:5100 например по RDP пробросить трафик не через default gateway - то можно.
Но что бы ответит на вопрос, нужно сформулировать его правильно.

Comments

[dpavlovskiy]

Akelsey, хочу уточнить, допустим клиент - это FireFox, в настройках которого я указываю прокси 109.167.131.88:5100 (конечно порт не принципиально именно этот), далее я должен попасть на MikroTik (ether1), далее через (ether2) на TL-MR3020 с установленным 4G (в интернет).
Вы говорите, что это не реализуемо? То есть, такой маршрут в прицепе не возможен?

Хорошо, если это будет 2 Ethernet канала, подключеных к MikroTik:
1) (ether1) со статическим адресом 109.167.131.88
2) (ether2) со статическим адресом 109.167.131.86

Как настроить MikroTik, что бы при запросе на 109.167.131.88:5100, выйти в интернет через 109.167.131.86?
И если это возможно, то в чём тогда отличие от схемы, где вместо второго ip (109.167.131.86) перенаправление на TL-MR3020?

Грубо говоря, мне нужен мобильный прокси.

Заранее спасибо, и извините если что-то пишу не так. Я не профессионал в сетях)

[Gregory]

тут "допустим" не подойдёт, вы будете web трафик кидать или какой-то другой?

[dpavlovskiy]

Maxlinus, это будут CURL запросы для работы с API Instagram

[akelsey]

dpavlovskiy, тогда простейший способ это правила маршрутизации.
Смотрим соурс (именно машина для курл запросов) - маркируем их, и роутим через второй канал.
Либо поднимаем на 3020 прокси (надеюсь там опенврт или леде?) и в курл запросе указываем прокси-сервер.

[dpavlovskiy]

akelsey, Спасибо за ответ!
Подскажите пожалуйста, так будет правильно?

/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-port=5100 in-interface=ether1 protocol=tcp to-addresses=192.168.10.101 to-ports=443

/ip firewall Mangle 
add chain=prerouting dst-address=109.167.131.88 dst-port=5100 action=mark-routing new-routing-mark=ProxyMark

Что то еще нужно? Может что-то в Ip Route?
На руйтере, на который уходит трафик что то нужно настроить?
192.168.10.101 - это его DHCP. Может я и тут что то не так делаю...
Я совсем не профессионал в сетях, по этому каждая буква мне дается с трудом)

PS:
Настроил по этой схеме. В настройках proxy в Chrome ввел 109.167.131.88:51000 - при обращении к любому сайту, в админке Микротика в разделе Interfaces видно, что пакеты на ether2 (192.168.10.101) - приходят, но в браузере ошибка "The proxy server is refusing connections". Так же настроил Route - опят же, не уверен что правильно... Скрин прилагаю.

Answer 3

[Дмитрий Шицков]

На Mikrotik вам не удастся провернуть данный трюк с прокси, т.к. ROS может запустить лишь один инстанс прокси-сервера, а значит нет никаких параметров, по которым можно было бы определить, куда направить трафик после прохождения прокси. Есть лишь вариант направлять трафик forward черкз один шлюз, а трафик output (локальный, с прокси) через другой.

Comments

[dpavlovskiy]

Дмитрий, спасибо за ответ!
Я думал может быть получится что-то типа этого:
/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-port=51000 in-interface=ether1 protocol=tcp to-addresses=192.168.10.1 to-ports=1-65000

Или может action=redirect?

[Дмитрий Шицков]

dpavlovskiy, не заработает... Вы таким правилом с одного порта направите трафик на случайный порт из диапазона 1-65000

[dpavlovskiy]

Дмитрий Шицков, А если:
/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-port=51000 in-interface=ether1 protocol=tcp to-addresses=192.168.10.101 to-ports=443

Может Вы можете предложить рабочий вариант?)

[Дмитрий Шицков]

dpavlovskiy, так сработает, но вам пр дется ко всем адресам сайтов вручную порт дописывать. Как прокси не заработает

Answer 4

[dpavlovskiy]

Дополнительные данные:

ether1 - статический ip: 109.167.131.88 (на который делаем запрос из интернета на порт 51000)
ether4 = роутер, на который хочется перенаправить трафик (dhcp ip: 192.168.1.110, gateway: 192.168.1.1)

Даже есть делать входящий порт 80 или 443 или любой другой, то результата нет.

Сейчас настроено так:

/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-port=51000 in-interface=ether1 protocol=tcp to-addresses=192.168.1.110 to-ports=443

/ip firewall Mangle
add chain=prerouting dst-address=109.167.131.88 protocol=tcp dst-port=51000 action=mark-routing new-routing-mark=ProxyMark

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether4 routing-mark= ProxyMark scope=30 target-scope=10

Лог такой:

19:03:17 firewall,info prerouting: in:ether1 out:(unknown 0), src-mac 00:1b:0d:ed:5b:c0, proto TCP (SYN), 188.170.74.70:35586->109.167.131.88:51000, NAT 188.170.74.70:35586->(109.167.131.88:51000->192.168.1.110:443), len 64
19:03:18 firewall,info prerouting: in:ether1 out:(unknown 0), src-mac 00:1b:0d:ed:5b:c0, proto TCP (SYN), 188.170.74.70:26060->109.167.131.88:51000, NAT 188.170.74.70:26060->(109.167.131.88:51000->192.168.1.110:443), len 64
19:03:18 firewall,info prerouting: in:ether1 out:(unknown 0), src-mac 00:1b:0d:ed:5b:c0, proto TCP (SYN), 188.170.74.70:31894->109.167.131.88:51000, NAT 188.170.74.70:31894->(109.167.131.88:51000->192.168.1.110:443), len 64
19:03:18 firewall,info prerouting: in:ether1 out:(unknown 0), src-mac 00:1b:0d:ed:5b:c0, proto TCP (SYN), 188.170.74.70:35586->109.167.131.88:51000, NAT 188.170.74.70:35586->(109.167.131.88:51000->192.168.1.110:443), len 6

Если попробовать сделать так:

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark= ProxyMark scope=30 target-scope=10

То есть сменить ether4 на 192.168.1.1, то пишет: "192.168.1.1 unreachable"
Хотя это gateway роутера, на который нужно отправить трафик...
/ip route - вообще должен видеть gateway 192.168.1.1?
Если сменить обратно на ether4, получаем - "reachable".

По моему, не проходит трафик на роутер (192.168.1.110 ether4)
Уже всю голову сломал... Please help!)