Совет по настройке RB3011UiAS-RM

Обсуждение оборудования и его настройки
Ответить
End
Сообщения: 8
Зарегистрирован: 08 дек 2016, 08:19

Добрый день.
Дано:
Сеть вышестоящего учреждения, с которой приходит кабель. С него же раздается dhcp, в ней находятся некоторые нужные ресурсы и интернет, все это раздается нам в офис.
Задача:
Нужно как-то поставить между сетью удаленной и нашей RB3011UiAS-RM, чтобы он рулил доступом в интернет, но при этом прямой доступ к ресурсам удаленной сети остался и dhcp шел оттуда же. (так сказать прозрачный шлюз, от которого требуется только web proxy).
Нужны советы и вообще, возможно ли так сделать ?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Конечно можно, даже нужно для контроля за сетью...


End
Сообщения: 8
Зарегистрирован: 08 дек 2016, 08:19

gmx писал(а):Конечно можно, даже нужно для контроля за сетью...


Я поэтому то и обратился. Нужна помощь в настройках. Как правильно реализовать вышеописанное. Чтобы и выход в интернет контролировать и сеть не делить на внешнюю и внутреннюю.


Dr_Friend
Сообщения: 8
Зарегистрирован: 28 ноя 2016, 01:04

Я конечно понимаю, что, при желании, гвозди можно и микроскопом забивать, но все же в качестве прокси данная железяка не годится.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

End писал(а):
gmx писал(а):Конечно можно, даже нужно для контроля за сетью...


Я поэтому то и обратился. Нужна помощь в настройках. Как правильно реализовать вышеописанное. Чтобы и выход в интернет контролировать и сеть не делить на внешнюю и внутреннюю.



Ну как не делить? Все равно делить придется. Можно просто маской в одной подсети, а можно и разные подсети сделать и маршрутизацию между ними.
Чтобы микротик полноценно работал, он должен стать шлюзом для ваших компьютеров.

Хотя можно и проще. Поднимаете прокси на вашем микротике. Втыкаете в него провод от вышестоящего шлюза. Микротик получит от него IP и увидит интернет. Ну а дальше руками прописывайте прокси на всех компьютерах.

Но это не совсем правильный подход. Более правильно так: вы организуете у себя новую подсеть, отличную от удаленной сети. Ваш микротик получает инет от удаленной сети, раздает его вашей подсети (неважно как, можно и через прокси, можно простым NAT - это уж как будет удобно). Чтобы компы вашей подсети видели удаленную подсеть нужно прописать два маршрута один на вашем микротике, а другой на шлюзе удаленной сети (может быть тоже Микротик?) Так вы получите полноценный инструмент в свои руки, а не костыль который вы хотите переделать.

Но, повторюсь, костыль тоже можно прекрутить. Хоты вы же понимаете, что если у пользователей полный доступ к компу, то они своими руками убирают прокси и прописывают шлюз, то все пойдет напрямую на вышестоящий роутер, миную ваш микротик. То есть очень легко все это обойти.

Вы блокировками озаботились??? Для этого прокси???

Подумайте, может проще, купить услуги SkyDns и решить все проблемы без костылей?? Не сочтите за рекламу. Я сам пользуюсь SkyDns там, где необходимы блокировки.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Кстати, а сколько компов в вашей сети? Скорость какая в мир??? А то может у вас три сотни компов и Uplink 1Г, то тогда слаба эта железка...


Dr_Friend
Сообщения: 8
Зарегистрирован: 28 ноя 2016, 01:04

gmx писал(а):Но, повторюсь, костыль тоже можно прекрутить. Хоты вы же понимаете, что если у пользователей полный доступ к компу, то они своими руками убирают прокси и прописывают шлюз, то все пойдет напрямую на вышестоящий роутер, миную ваш микротик. То есть очень легко все это обойти.

Даже если в браузере прописать прокси, то остальной софт с компов все равно пойдет в сторону основного шлюза, который получают от дхцп-сервера.
Чтобы компы вашей подсети видели удаленную подсеть нужно прописать два маршрута один на вашем микротике, а другой на шлюзе удаленной сети

Никаких маршрутов писать не нужно.
Более правильно так: вы организуете у себя новую подсеть, отличную от удаленной сети. Ваш микротик получает инет от удаленной сети, раздает его вашей подсети (неважно как, можно и через прокси, можно простым NAT - это уж как будет удобно).

А как через прокси без ната?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Dr_Friend!!! Надо больше читать и меньше писать.

По вашим замечаниям: при использовании прокси, предполагется, что основного шлюза в настройках нет. Как этого добиться: настройкой вручную или на DHCP сервере - вопрос другой.

Если подсети будут разные, то маршруты придется писать. На удаленном шлюзе точно нужно. Допускаю, что на вновь установленном микротике не потребуется, так как и так все пакеты будут уходить в сторону удаленного шлюза. Ну или от DHCP удаленного шлюза он их может получить. Вариантов много.

Читайте лучше. Я написал, что можно организовать доступ через прокси, а можно и без него, через обычный нат, без дополнительных плюшек.


Ответить