Как организовать LAN при строгом proxy и NAT за ним от провайдера?
Уважаемые коллеги, приветствую!
Возникла проблема при переходе на провайдера по распоряжению минкомсвязи.
Предыстория:
Первичный провайдер предоставляет свой канал для связи с ЦОД Ростелекома, подключение к которому осуществляется согласно их инструкции статическим указанием диапазона серых адресов, установкой сертификата и настройкой прокси на каждой рабочей машине, и, как я понял, NAT находится за proxy, поэтому интернета нет без соблюдения этих шагов. По-другому эта схема не работает, при всём моём старании настроить подключение к proxy на RouterOS Mikrotik через web proxy и посредством установки сертификата на нём же, да и, как объяснили знающие товарищи, сертификат должен быть свой на каждой машине для корректной подмены.
Суть:
Как организовать управление такой сетью, где роутер превращается в bridge (свитч), потому как при использовании своей подсетевой адресации, указании нужной статики и попытке настроить web proxy на микротике ничего не работает.
Вот я хочу выяснить, смогу ли я вернуть управление сетью или придется в любом случае иметь «прямое» к шлюзу провайдера.
Правильно ли я понимаю, что вас административно обязали отказаться от обычного провайдера и подключиться по этой дикой схеме к Ростелекому? Вероятно, бюджетное учреждение? Когда-то сталкивался с подобно дичью, когда каждой машине присваивался IP из предоставленного провайдером пула, которого 1) не хватало 2) никакого управления сетью не было.
Андрей, на тот момент я вариантов сходу не нашёл. А потом организациям дали свободу выбора провайдера и тема стала неактуальна.
Вообще, конечно, это жесть была - 5 мегабит (!) на всю организацию с полусотней компьютеров, до техподдержки не дозвониться, только какие-то невнятные субподрядчики, которые ничего не знают и редиректят друг на друга.
Полагаю, что вас ещё ждёт переход на отечественное программное обеспечение, а значит всем Альт Линукс или что-то подобное обяжут установить.
Можно замутить вариант с установкой вместо микротика обычного линуха, на котором поднять прокси со всеми необходимыми сертификатами и пр, а с него раздавать тырнет и к нему подключать сеть. То есть грубо говоря, для РТК будет один клиент - линух с прокси, который и будет роутером для остальной подсетки.
CityCat4, Тоже об этом подумал. Была еще мысль по поводу ната свой сети под серые адреса выданные, но я так не пробовал и советовать не буду. Опять же проблема сертификата так не решиться.
Ярослав Зеленский, Насколько я понимаю, там по сертификату аутентификация в прокси? Ну почему бы не поставить этот сертификат в squid, который будет с его помощью подключаться? Идея ната в адреса РТК тоже хороша. Глобальная идея-то в чем? Есть легитимный клиент, который работает с прокси РТК так, как они хотят, а за ним - локалка, через него ходящая.
Это что ещё за чудеса?
1. Есть адрес прокси провайдера? / Он в той же сети, что и Ваш микротик?
2. Ваша сеть имеет прямой доступ к прокси провайдера? / Вам не хочется прописывать на всех машинах прокси провайдера?
3. Прочтите: тут
и тут
Ответьте на вопросы после выполнения всех 3 пунктов.
Будем решать.
Автор пишет о наличие сертификата для прокси-сервера. В микротике разве есть возможность подтянуть его? Или в случае parent сервера сертификат будет проходить от клиента через микрот к родителю и так?
Ярослав Зеленский, Нет. Пора забыть об этом. Пусть прописывает прокси парента везде и всё. А на микротике как в роли шлюза уже пусть ограничивает по портам людей и по адресам. Указывает адрес парента и его порт как разрешенный.
Если я правильно понимаю то сертификат тут фигурирует как mitm для прокси провайдера? Кроме того обязательно условие чтобы все тачки жили с ip адресами провайдера? А вы хотите получить хоть какое то управление такой сетью?
Если так то можно организовать свой dhcp с выдачей списка адресов которые хочет провайдер. Могу конечно ошибаться в пути настройки но по идее правильно и должно заработать.
wan порт кидает в бридж со всеми остальными портами, фаирволом блочите udp\tcp связанные с dhcp сервером. Создаете пул с ip которые хочет провайдер. Создаете dhcp сервер с этим пулом на бридж. Довешиваете всякие нужные dhcp опции если надо, отдельные сети для ,скажем, внутренних серверов с шарами и т.д. Настраиваете правила фаирвола по блоку всего ненужного выхода на порт где живет провайдер. Настраиваете тиковский dns сервер, его тыкаете в провайдера а в локалку раздадите уже тиковский ip По итогу вы сможете рулить сетью уже на таком этапе, делать что хотите, блокировать, смотреть кто получил адреса и т.д.
Другой вариант это двойной nat сделать классически, на wan порту статикой адрес который хочет провайдер, нат, своя сервая сеть внутри и т.д.
С прокси тоже несколько вариантов.
Можно обвернуть все необходимые настройки прокси в pac файлы и раздавать их по dhcp. Можно не по dhcp а по доменному имени дефолтному. Плюсом является что получите множество настроек, на уровне dhcp можно будет рулить какому клиенту какой файлик сунуть.
Можно обвернуть в фаирволе все запросы на 80\443 порты в ip прокси провайдера.
Но если сертификат используется для mitm то в любом случае придется на каждой машинке руками 1 раз засунуть эти сертификаты.
Вариант, что называется, из-за угла! Но мне нравиться =) Что-то такое я и думал, только про pac файлы не знал. И хотел прикрыться адресами за натом, а вы просто предложили раздавать их у себя. Умно.
Средний
