Как правильно настроить обход прокси сервера в Mikrotik?

Question

[Astlos145]

Настроен Pfsense с прокcи сервером Squid, и к нему подсоединен Mikrotik, и когда проходит подключение через него, то на всех ip открывается определённый список сайтов. Но если какой нибудь способ обхода для определённого адреса, который был получен в Mikrotik, например 10.0.15.2? Я пытался через Bypass Proxy for These Source IPs, и но всё ровно не обходит, а если в SquidGuard через ACL, то блокирует весь диапозон Mikrotik

Answer 1

[akelsey]

Убрать NAT, сделать обычный роутинг? Что бы на Pfsense был реальный адрес клиента, а не сначенный микротиком.

Comments

[Astlos145]

да дело в том, что через микрот подключаются очень много машин, и пытаюсь настроить, чтобы в определённый момент, сделать обход через прокси

[akelsey]

Astlos145, не совсем понял, у вас у клиентов дефолтным роутером является микротик, через него ходит трафик обычный наченный. Т.е. у пользователей никаких настроек прокси нет.
Теперь вы собираетесь взять весь трафик, и как то отправить не напрямую к дестинейшн, а промежуточно на прокси?
Просто я читал несколько раз вопрос, смысл улавливается тяжело, или вообще не улавливается.
Оттого и ответов не густо, люди просто не понимают что у вас за задача или нужно задавать слишком много наводящих вопросов....

[Astlos145]

akelsey, у микрота есть свой ip адрес и со своей подсетью, а шлюз уходит на pfsense с настроенным кальмаром, я просто хочу понять, как сделать обход через прокси сервер, чтобы дать доступ ко всем сайтам диапазону ip адресам внутри микрота

[akelsey]

Astlos145, давайте тогда по порядку,
* какую роль выполняет микротик в сети.
* как пользовательские машины или пользователи выходят в интернет
* какую роль выполняет пфсенс+сквид?

[Astlos145]

akelsey, микрот используется для доступа в интернет определённого места, то есть как маршрутизатор в основном это ноутбуки, pfsense+squid как прокси сервер для фильтрации сайтов

[akelsey]

Astlos145, как же трудно из вас добывать данные. Еще раз попытаюсь.
Вы пишите "микротик используется для доступа в интернет", т.е. у него есть свой канал в интернет. Через него через банальный НАТ выходит в интернет целая подсеть? верно?
Есть отдельный пфсенс у которого есть свой канал в интернет, плюс к этому на нем развернут прокси.
Сабнет что на микротике висит - скажем так - может использовать прокси сервер на пфсенсе если сконфигурить браузер. Т.е. все порты доступны для локальной сети "микротик".

Теперь если мои догадки по конфигурации верные - основная идея (тут я теряюсь мне нужна ваша помощь) - каким-то образом сначенный трафик с микротик - перенаправлять через прокси на пфсенс (зачем? - ну например - как временное обходное решение чтоли?).
Ну т.е. идея то в чем?

[Astlos145]

akelsey, идея в том, как настроить обход через прокси сервера сам маршутизатор микрот и всё, чтобы можно было открыть доступ ко всем сайтам

[akelsey]

Astlos145, т.е. весь трафик поступающий на микротик вы хотите гонять через прокси? верно понял я?

[Astlos145]

akelsey, да, но пока получается только с ip адреса, hostname почему-то не берёт

[Astlos145]

akelsey, и стал замечать вот такую ошибку [crit] 72390#100149: *1336 SSL_do_handshake() failed (SSL: error:140944E7:SSL routines:ssl3_read_bytes:reason(1255):SSL alert number 255) while SSL handshaking, client: 10.0.0.190, server: 0.0.0.0:443

[akelsey]

Astlos145, у меня для вас два ответа:
1. Если я правильно все понял и вы хотите гонять траффик L3 с микротика на прокси (L7) - то спешу вас разочаровать, вероятно у вас ничего не выйдет.
2. Возможно вы хотите не этого, но постановка задачи настолько мутная, что по кол-ву комментаторов в вашем вопросе - косвенно вы можете это понять.

[Astlos145]

akelsey,
вот что пытаюсь сделать, чтобы вот эти адреса обходили Squid, но без успешно. В основном здесь прописаны адреса, которые выдает сам микрот. Я только начинающий в этом деле

[akelsey]

Astlos145,
Балин, ну так и надо писать было, что:
* есть сегмент сети на микротик - там столько то клиентов (сабнет такой то)
* настроен в сети PFSense с transparent прокси Squid, я хочу клиентов за микротиком пропускать мимо прокси (наверное это мои многуважаемые ВИПы).

Т.е. шлюз только на PFSense, осталось узнать в каком режиме работает микротик. (он кстати лишний тут в тегах, равно как и сквид, вопрос тут больше надо обратится к опыту людей работающих с pfsense в связке со сквид). Т.е. если он просто как роутер - то да надо знать как работает связка пфсенс и транспарент сквид.

Еще много надо выяснить, работайте, формулируйте вопросы правильно, рисуйте схемы, ну ищите решение самостоятельно. -)

[Astlos145]

akelsey, Миктрот работает как маршрутизатор для большого количества клиентов, т.е когда его начали настраивать, в нём уже были все настройки, оставалось только настроить ip, шлюз и LAN

[akelsey]

Astlos145, прокси работает в transparent режиме?

[Astlos145]

akelsey, да в Transparent, а еще настроен Squid с сертификатом, что даже не нужно его добавлять на устройство, как понял, что он сам себя подписывает и дает доступ к сайтам

[akelsey]

Astlos145, сертификат в squid нужен для транспарент прокси SSL сайтов. Он по сути является MITM (и часть банков и сервисов у вас так никогда не заработает). Т.е. терминирует SSL сессию до клиент банка, и подключается от своего имени. Это уже не самое лучшее решение для офиса, но вам виднее.
В логах на сквиде запросы от клиента подключенного через микротик допустим с адреса 10.0.5.3 как выглядят?

[Astlos145]

akelsey, показывает в логах ip адрес самого микрота к которому подключён клиент, тот же самый 10.0.5.3

[akelsey]

Astlos145, ну значит микротик не работает в режиме роутинга, а НАТит адреса. Как же вы хотите сделать proxy bypass - если source IP скрыт за SNAT адресом микротик.
Настройте микротик что бы на сквиде и пфсенс был виден исходный адрес клиента, не микротик.

[Astlos145]

akelsey, не подскажете, как это правильно настроить? В интернете и на форумах ничего такого не нашёл