Как настроить Mikrotik для Squid PfSense?

Question

[Astlos145]

Здравствуйте!
Настроен PfSense со Squid. и есть Mikrotik для определённого диапазона клиентов.
Задача стоит в том, чтобы на PfSense и Squid был виден исходный адрес клиента, а не Mikrotik, а так он отображает ip адрес самого микрота. Сам Squid настроен прозрачный с самописной сертификацией, и еще с LightSquid. Может кто сталкивался с этим в работе с PfSense?

Comments

[Дмитрий Шицков]

Приложите схему сети, а то можно только гадать что есть, а что надо. Может у вас там Интернет-> PfSense ->Mikrotik, или Интернет -> Mikrotik -> PfSense или ... И где у вас трафик натится? На Pfsense или микроте? Кто из них корневой маршрутизатор?

[Valentin Barbolin]

Без схемы сети сложно понять что куда.

[Astlos145]

Дмитрий Шицков, Andrey Barbolin,

[Valentin Barbolin]

Astlos145, Замутили конечно.
Не хватает еще ip адресов, ну да ладно. Теперь очевидно что на микротике включен НАТ.
Следовательно, что бы PFsence видел реальные IP клиентов, надо выключить НАТ и на PFsecce добавить маршрут в сеть клиентов.

У Вас микротик для WiFi?

[Astlos145]

Andrey Barbolin, да, он используется для WiFi чтобы подключать клиентов. Я правильно понял, нужно снял галочку "Nat" в Mikrotik? И как на самом PfSense добавить маршрут в сеть клиентов? Сам PfSense используется также как основной шлюз.

[Valentin Barbolin]

Astlos145, Да это один из вариантов, у вас получится l3 маршрутизация через микротив.
Есть другой вариант, выключить на микротике dhcp и включить pfsence в одну сеть с клиентами. Тогда все будут сразу ходить на pfsence. Wifi клиенты будут получать IP от pfcense. Микротик будет работать как просто свич.

[Valentin Barbolin]

Astlos145, По поводу маршрута на pfcense.
Зайти в раздел с маршрутами и указать, что сеть клиентов находится на IP (ip wan интерфейса) микротика.

[Astlos145]

Andrey Barbolin, я пробовал отключить dhcp на микроте и получилось так, что клиент не смог получить ip адрес с микрота или pfsense

[Valentin Barbolin]

Astlos145, Надо pfcence воткруть в одну сеть с клиентами. У Вас сейчас PF подключен в WAN порт мироктика, а надо в LAN. Либо переключите PF, либо на микротике переведите этот порт в бридж к остальным LAN портам.

[Astlos145]

Andrey Barbolin, У Pf работает сразу 2 порта WAN и LAN. Wan берёт свой личный адрес и шлюз сервера, через который проходит интернет. LAN собран на диапазоне 10.ХХХ. C микротом я мало очень работаю и пока не знаю, как сделать так чтобы микрот видел PF или наоборот. Задача стоит в том, как подружить Mikrotik со Squid PF, чтобы можно было в любой момент, отключить защиту для некоторых клиентов микрота

[Valentin Barbolin]

Давай те еще раз. На микроте выключить НАТ и DHCP, все порты переключить в Бридж LAN, если есть правила Firewall, то выключить. На PF включить DHCP, все клиенты должны получать адреса с PF.

GW - gateway - шлюз по умолчанию.

[Дмитрий Шицков]

Andrey Barbolin, очень похоже на ответ, перенесите в ответы, пожалуйста

[Valentin Barbolin]

Давай те еще раз. На микроте выключить НАТ и DHCP, все порты переключить в Бридж LAN, если есть правила Firewall, то выключить. На PF включить DHCP, все клиенты должны получать адреса с PF.

GW - gateway - шлюз по умолчанию.

[Astlos145]

Andrey Barbolin, я отключил Nat, DHCP микроте. В Filter Rules тоже всю отключил. на PF DHCP работает, но как переключить все порты LAN на микроте?

[Valentin Barbolin]

Astlos145, Визуально смотрите на микротике в какой порт подключен PF, переходите в настройки Bridge/Port и добавляете этот интерфейс в тот же бридж в котором находятся остальные порты. Если этот порт уже в каком-то бридже, то его необходимо оттуда удалить.

[Astlos145]

Andrey Barbolin, я просмотрел все порты, и никаких упоминаний PF в микроте, он используется как основной шлюз, а в остальном стоят все предустановленные настройки микрота

[Valentin Barbolin]

Astlos145, Я имел ввиду визуально посмотреть в какой порт подключен PF.

[Astlos145]

Andrey Barbolin, а это, он подключен через по LAN через 16 портовый Switch к Mikrotik

[Valentin Barbolin]

Astlos145, Да простят меня боги. Пока не нарисуете детальную схему сети - дела не будет.

[Astlos145]

Andrey Barbolin,

[Valentin Barbolin]

Astlos145, Что за свич? VLAN? Может это просто ХАБ? Что в этот свич еще подключено?

[Astlos145]

Andrey Barbolin, подключен через Desktop 16 port Switch, и через него подключено много устройств

[Valentin Barbolin]

Astlos145, Если PF и устройства подключены в один свич, то они должны получить IP с PF. Вы уверены, что на PF включен DHCP?

[Astlos145]

Andrey Barbolin, остальные клиенты с PF получают ip, только микроты никак

[Valentin Barbolin]

Astlos145, значит порт в который подключен свич на микротике, необходимо переключить в Bridge LAN.

[Astlos145]

Andrey Barbolin, Дмитрий Шицков,
Вот по такому принципу я пытаюсь настроить микрот, чтобы он получал ip с PF но только по WAN, если это возможно.

[Valentin Barbolin]

Astlos145, Микротик это больше чем роутер. На нем понятие LAN и WAN размыто, любой порт может быть как LAN так и WAN. Что бы работала твоя схема, необходимо переключить все порты на микротике в BRIDGE или перетыкнуть свич в порт на микротике который уже в BRIDGE..

[Astlos145]

Andrey Barbolin, я все переключил в BRIDGE, но всё ровно не может получить ip PF

[Valentin Barbolin]

Astlos145, Не вижу ether1 в бридже.

[Astlos145]

Andrey Barbolin, интернет в микрот приходит в порт Internet/PoE in, второй порт занят ПК

[Valentin Barbolin]

Astlos145, микротик ведь подключен этим портом в свич?

[Astlos145]

Andrey Barbolin, да, и в BRIDGE поставил в ether1, то вижу такую картину, может я что-то не то сделал

[Valentin Barbolin]

Astlos145, и что вы видите? Я ничего тут не вижу.

[Astlos145]

Andrey Barbolin, кажется получилось, как я понял он перешёл в режим BRIDGE, и при это нужно отключить DHCP, NAT, и ether1 перевести в BRIDGE. И сейчас любое устройство с него получается ip PF

[Valentin Barbolin]

Astlos145, Слава яйцам. Не пользуйтесь quickset это для домашних подьзователей, он навораяивает дефолтный конфиг.

[Astlos145]

Andrey Barbolin, хорошо, буду знать) Спасибо за помощь! С микротом работаю впервые, и это здорово, что есть люди, кто с ним сталкивался, и стараются хоть как-то помочь