Частичный перехват трафика в одной сети

Обсуждение ПО и его настройки
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Коллеги, добрый день.
Есть очередная хитрая задача, помогите (подскажите) как ее решить и с помощью каких инструментов.
Дано (на самом деле условие усложнено, но постараюсь объяснить проще):
Сеть 10.2.60.0/23 управляется CentOS и доступа к шлюзу нет. Патчкорд несущий в себе сеть от CentOS входит в головной свитч, далее есть еще свитчи, компы и т.д.
Изменять топологию сети, убрав CentOS как DHCP - нельзя, он должен остаться основным шлюзом.
Необходимо перехватить (завернуть) микротиком весь трафик определенных сайтов (к примеру vk.com) и отправить его в VPN, поднятый на микротике.

Микротик используется hap-mini. Предположительно вставляем его в разрез патчкорда от CentOS к свитчу.... Вот только как маркировать непонятно... если микротик не шлюзует


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

На бридже use-ip-firewall=yes


Telegram: @thexvo
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

понял, попробую, при включенном пункте, правила будут работать стандартные в IP-Filter или те которые прописать нужно на вкладках Bridge-Filter? там нет же маркировки роутинга...


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

При этой настройке - стандартные, а точнее и те и те.
А вот без этой галки только то, что в Bridge -> Filter.

Вообще я сейчас на диаграмму посмотрел, наверное это даже не надо, достаточно будет для нужных пакетов делать bridge -> nat и action=redirect
А потом, когда роутер получается их себе поймает - они пойдут уже по стандартному пути для маршрутизируемых пакетов.


Telegram: @thexvo
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

подскажите пожалуйста синтаксис, первый раз столкнулся с данной веткой настроек.
правильно я понимаю?
1) IP Mangle prerouting - маркируем роутинг cайтов с адрес листа
2) IP Routes - делаем маршрут на основании правила маркировки
3) Bridge NAT - делаем правило dst-nat redirect

или в Mangle еще и нужна маркировка пакетов вслед за маркировкой роутинга? чтобы в Bridge-NAT указать пакеты?
и еще вопрос - правильно что микрот нужно ставить в разрыв кабеля, т.е. одним патчкордом к шлюзу, вторым к свитчу, и оба порта в бридж?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Skylear писал(а): 19 окт 2020, 23:28 или в Mangle еще и нужна маркировка пакетов вслед за маркировкой роутинга? чтобы в Bridge-NAT указать пакеты?
и еще вопрос - правильно что микрот нужно ставить в разрыв кабеля, т.е. одним патчкордом к шлюзу, вторым к свитчу, и оба порта в бридж?
Маркировка пакетов не нужна - это бридж нат как раз и будет выдергивать пакеты из "потока" согласно какому-то правилу (правилам).

У меня есть подозрение, что в mangle вообще можно ничего не маркировать - достаточно просто дефолтного маршрута (0.0.0.0/0) через туннель, маршрута до впн-сервера через CentOS и connected-маршрута до локальной сети. И он тогда автоматом все, что bridge-nat выдернет, будет пихать в туннель, а обратное - в бридж.


Telegram: @thexvo
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

все таки не совсем понимаю...
тут получается так,
1) микрот встает в разрыв соединения свитча и CentOS, для того чтобы ловить нужные пакеты в ЛВС.
2) микрот поднимает VPN до какого-то сервера (через дефолтный маршрут ведущий до CentOS и маскарадинг)
3) микрот должен ловить через себя трафик сайтов, к примеру vk.com и направлять его в VPN

так вот вопрос в том, где указать список белых сайтов, то?? я прощелкал в винбоксе вкладку Bridge-NAT, но так и не понял. Нужно же указать что маркировать и куда направлять...
что выбрать на вкладке Action


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Skylear писал(а): 20 окт 2020, 00:08 2) микрот поднимает VPN до какого-то сервера (через дефолтный маршрут ведущий до CentOS и маскарадинг)
Ну я то как раз предлагал не через дефолтный: по дефолтному пусть бы наоборот в туннель все улетало, что из бриджа выдернуто, но похоже так не выйдет: см ниже.
Skylear писал(а): 20 окт 2020, 00:08 так вот вопрос в том, где указать список белых сайтов, то?? я прощелкал в винбоксе вкладку Bridge-NA, но так и не понял. Нужно же указать что маркировать и куда направлять...
что выбрать на вкладке Action
Вижу в чем косяк, bridge dst-nat выполняется до вообще всех остальных цепей и при этом не умеет работать со списками адресов.
То есть получается нам в бридж нате вообще весь ip трафик идущий наружу выдернуть (action=redirect), затем он пройдет по обычному пути, в том числе через mangle - там пометить routing для того, что надо, а все остальное по дефолтному маршруту вернется в бридж.
Итого да: дефолтный маршрут без маркировки - через centOS, дефолтный маршрут с маркировкой - через туннель.


Telegram: @thexvo
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

уловил. завтра попробую отпишусь.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Пока вижу несколько минусов у всей этой истории:
1) Не факт, что hap mini с этим всем справится. У него и так то ограничение в 100мбит, но тут, как мне кажется он и этого не вытянет.
2) После таких манипуляций весь IP-трафик будет приходить на CentOS с мак-адреса самого hap mini. Не знаю, как он к этому отнесется. И будет ли вообще что-то после этого работать именно через centOS. Если конечно искусственно не восстанавливать MAC-адреса через тот же bridge nat, но уже цепочку src-nat. Но это сработает только если можно жестко забить сопоставление ip-mac и вообще хостов не много, иначе там какой-то суровый скрипт придется колхозить.


Telegram: @thexvo
Ответить