@Andreiyw
AnyKey, студент 4 курса

Как организовать LAN при строгом proxy и NAT за ним от провайдера?

Уважаемые коллеги, приветствую!
Возникла проблема при переходе на провайдера по распоряжению минкомсвязи.
Предыстория:
Первичный провайдер предоставляет свой канал для связи с ЦОД Ростелекома, подключение к которому осуществляется согласно их инструкции статическим указанием диапазона серых адресов, установкой сертификата и настройкой прокси на каждой рабочей машине, и, как я понял, NAT находится за proxy, поэтому интернета нет без соблюдения этих шагов. По-другому эта схема не работает, при всём моём старании настроить подключение к proxy на RouterOS Mikrotik через web proxy и посредством установки сертификата на нём же, да и, как объяснили знающие товарищи, сертификат должен быть свой на каждой машине для корректной подмены.
Суть:
Как организовать управление такой сетью, где роутер превращается в bridge (свитч), потому как при использовании своей подсетевой адресации, указании нужной статики и попытке настроить web proxy на микротике ничего не работает.
Вот я хочу выяснить, смогу ли я вернуть управление сетью или придется в любом случае иметь «прямое» к шлюзу провайдера.
  • Вопрос задан
  • 212 просмотров
Пригласить эксперта
Ответы на вопрос 2
zabudkin
@zabudkin
Инженер-системотехник, программист, админ, ТПУ!!!!
Это что ещё за чудеса?
1. Есть адрес прокси провайдера? / Он в той же сети, что и Ваш микротик?
2. Ваша сеть имеет прямой доступ к прокси провайдера? / Вам не хочется прописывать на всех машинах прокси провайдера?
3. Прочтите: тут
и тут

Ответьте на вопросы после выполнения всех 3 пунктов.
Будем решать.
Ответ написан
jamakasi666
@jamakasi666
Просто IT'шник.
Если я правильно понимаю то сертификат тут фигурирует как mitm для прокси провайдера? Кроме того обязательно условие чтобы все тачки жили с ip адресами провайдера? А вы хотите получить хоть какое то управление такой сетью?

Если так то можно организовать свой dhcp с выдачей списка адресов которые хочет провайдер. Могу конечно ошибаться в пути настройки но по идее правильно и должно заработать.
wan порт кидает в бридж со всеми остальными портами, фаирволом блочите udp\tcp связанные с dhcp сервером. Создаете пул с ip которые хочет провайдер. Создаете dhcp сервер с этим пулом на бридж. Довешиваете всякие нужные dhcp опции если надо, отдельные сети для ,скажем, внутренних серверов с шарами и т.д. Настраиваете правила фаирвола по блоку всего ненужного выхода на порт где живет провайдер. Настраиваете тиковский dns сервер, его тыкаете в провайдера а в локалку раздадите уже тиковский ip По итогу вы сможете рулить сетью уже на таком этапе, делать что хотите, блокировать, смотреть кто получил адреса и т.д.

Другой вариант это двойной nat сделать классически, на wan порту статикой адрес который хочет провайдер, нат, своя сервая сеть внутри и т.д.

С прокси тоже несколько вариантов.
Можно обвернуть все необходимые настройки прокси в pac файлы и раздавать их по dhcp. Можно не по dhcp а по доменному имени дефолтному. Плюсом является что получите множество настроек, на уровне dhcp можно будет рулить какому клиенту какой файлик сунуть.

Можно обвернуть в фаирволе все запросы на 80\443 порты в ip прокси провайдера.
Но если сертификат используется для mitm то в любом случае придется на каждой машинке руками 1 раз засунуть эти сертификаты.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы