Прокси сервер на микротик

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
MarshmallowMan
Сообщения: 4
Зарегистрирован: 14 апр 2020, 14:41

Здравствуйте, не совсем шарю в сетевой адресации и совсем не шарю в микроте. :ny_tik:
Тем не менее, может кто поможет.
Итак, что имеется:
интернет приходит в микрот в первый порт, дальше из третьего порта идет провод в сервер на windows server 2012, вторым интерфейсом сервер смотрит в локальную сеть.
На сервере настроен dhcp, и установлен usergate и в нем настроены правила интернета для пользователей сети.
Нужно:
настроить прокси с правилами доступа в интернет на микроте, чтобы микрот был воткнут в локалку, а не в сервер.
микрот - RB951G
прошивка 6.46.5
почитал пару статей на эту тему как то там все сложно.
С чего начать?
Нужно чтобы DHCP наш увидел микрот в локалке и присвоил ему адрес или наоборот сделать чтобы микрот был DHCP сервером?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

MarshmallowMan писал(а): 14 апр 2020, 15:42 Здравствуйте, не совсем шарю в сетевой адресации и совсем не шарю в микроте. :ny_tik:
Странно, имеет сеть, сервер, компьютеры и не понимать в адресации?

По теме дам такие советы:

1) если у Вас винда и есть АктивДиректори = тогда у Вас ДНС и DHCP должны быть от винды ТОЛЬКО
1.1) соответственно, шлюз для компов виндовый DHCP должен отдавать адрес микротика
1.2) адрес локальный микротика должен быть постоянный
1.3) в DNS виндовый также надо настроить форвард внешних зон на какой-то ДНС сервер,
или на ДНС-микротика или на ДНС-провайдера

2) прокси-сервер в наше время использовать не целесообразно
2.1) на крайний случай, поднимайте прокси на сервере, но сам сервер должен работать
с интернетом полноценно (НАТ/Маскарайдинг)
2.2) с учётом того, что сейчас уже 70% всех сайтов работают по протоколу HTTPS (SSL),
а прокси микротика не умеет SSL, юзергейт я не знаю что может, поэтому использование
прокси крайне не эффективно, но в рамках небольшой сети, с учётом всех положений
может и имеет место быть. (всё относительно)

3) если у Вас нет АД-авторизации, а просто сервер, то да, можно микротик делать как
основным шлюзом, на нём поднимать ДНС-кеширующий сервер, поднимать DHCP-сервер,
и через него делать выход в интернет для всей сети и/или для ряда адресов/хостов.
В данном случаи настройки будут почти такие же, как настраивают микротик и другие
роутеры для работы в мини-офисах или дома.

P.S.
а) Микротик настраивать только руками(не использовать визарды и мастеры настроек),
изучить ряд фактов, моментов, поискать тут основы, изучить основы сети, хотя бы сеть, маску и шлюз.
б) не забывать о защите (на самом микротике, файрвол), так и на компах, но тут должна быть
золотая середина.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
MarshmallowMan
Сообщения: 4
Зарегистрирован: 14 апр 2020, 14:41

Vlad-2 писал(а): 14 апр 2020, 17:21 По теме дам такие советы:

1) если у Вас винда и есть АктивДиректори = тогда у Вас ДНС и DHCP должны быть от винды ТОЛЬКО
1.1) соответственно, шлюз для компов виндовый DHCP должен отдавать адрес микротика
1.2) адрес локальный микротика должен быть постоянный
1.3) в DNS виндовый также надо настроить форвард внешних зон на какой-то ДНС сервер,
или на ДНС-микротика или на ДНС-провайдера
Да виндовс и AD
Vlad-2 писал(а): 14 апр 2020, 17:21 2) прокси-сервер в наше время использовать не целесообразно
2.1) на крайний случай, поднимайте прокси на сервере, но сам сервер должен работать
с интернетом полноценно (НАТ/Маскарайдинг)
2.2) с учётом того, что сейчас уже 70% всех сайтов работают по протоколу HTTPS (SSL),
а прокси микротика не умеет SSL, юзергейт я не знаю что может, поэтому использование
прокси крайне не эффективно, но в рамках небольшой сети, с учётом всех положений
может и имеет место быть. (всё относительно)
2 Почему нецелесообразно? а что целесообразно?
2.2 Значит он не сможет корректно передавать эти сайты или блокировать или что?
Возможно ли что это в будущем решится прошивкой?
Юзергейт вроде все сайты открывает без проблем.
Вообще все это затеяно для того чтобы ускорить работу интернета, так как львиная доля работы проходит в системах по веб интерфейсам.
Предполагал что более аппаратный и простой микрот будет более быстро работать в роли прокси.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

MarshmallowMan писал(а): 14 апр 2020, 20:12 2 Почему нецелесообразно? а что целесообразно?
Использовать роутер на прямую, и + убрать "посредник", то есть убрать прокси-сервер
(кстати, прокси переводиться как посредник)
MarshmallowMan писал(а): 14 апр 2020, 20:12 2.2 Значит он не сможет корректно передавать эти сайты или блокировать или что?
Возможно ли что это в будущем решится прошивкой?
Юзергейт вроде все сайты открывает без проблем.
Я прокси (как службу/сервис) лет 8-9 не использую. НЕ знаю даже как она работает сейчас.
Но хочу прояснить, прокси - это программная сущность, это нагрузка на процессор,
это обработка трафика.
Я думаю что в будущем, с прошивками прокси как класс пропадёт.
MarshmallowMan писал(а): 14 апр 2020, 20:12 Вообще все это затеяно для того чтобы ускорить работу интернета, так как львиная доля работы проходит в системах по веб интерфейсам.
Предполагал что более аппаратный и простой микрот будет более быстро работать в роли прокси.
Так я и ответил и повторюсь: у Вас есть роутер, через него сделайте маршрутизацию и всё просто взлетит.
Прокся отнимает время, создаёт нагрузку и из-за того что сейчас сайты более мелкие и динамические,
прокся только делает хуже, создаёт задержку.
Ваша задача, когда компьютер набирает yandex.ru - отправить запрос на роутер, на роутере данный запрос
передать в сторону провайдера (сделав с пакетом NAT/Маскарайдинг) и при ответе, отдать запрос
на комп. Так сейчас сделано в 98% на всех роутерах (домашних даже), поэтому убирайте посредников,
проксю на микротике, юзергейт и работайте как положено и как нынче модно.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
MarshmallowMan
Сообщения: 4
Зарегистрирован: 14 апр 2020, 14:41

Vlad-2 писал(а): 15 апр 2020, 04:27 Так я и ответил и повторюсь: у Вас есть роутер, через него сделайте маршрутизацию и всё просто взлетит.
Прокся отнимает время, создаёт нагрузку и из-за того что сейчас сайты более мелкие и динамические,
прокся только делает хуже, создаёт задержку.
Ваша задача, когда компьютер набирает yandex.ru - отправить запрос на роутер, на роутере данный запрос
передать в сторону провайдера (сделав с пакетом NAT/Маскарайдинг) и при ответе, отдать запрос
на комп. Так сейчас сделано в 98% на всех роутерах (домашних даже), поэтому убирайте посредников,
проксю на микротике, юзергейт и работайте как положено и как нынче модно.
То есть можно настроить разрешенные и запрещенные сайты через маршрутизацию без использования прокси?
Можете посоветовать ресурс, где доступно про это написано?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

MarshmallowMan писал(а): 15 апр 2020, 06:36 То есть можно настроить разрешенные и запрещенные сайты через маршрутизацию без использования прокси?
Если без панацеи, то да. Главное понять и задать логику, либо ВЫ:
а) разрешаете только сайты согласно Вашему списку и всё остальное закрываете;
б) всё доступно, а закрываете по Вашему списку только.
Также сюда можно добавить второй список, скажем список пользователей:
а) делать ограничения только пользователям;
б) не делать ограничений админам, руководству.

Роутер почти спокойно "пережёвывает" списки до 15 тысяч строк. Опять же это на самых обычных моделях,
где-то можно и выше, но не рекомендуется (я данные дал с учётом своей практики).
При использовании списков (Address List) можно и нужно использовать доменное имя,
роутер его сам преобразует через DNS-службу в IP (если IP много, будет много и записей, если IP
поменяется у домена, через какое-то время поменяется он и в адрес-листе).
MarshmallowMan писал(а): 15 апр 2020, 06:36 Можете посоветовать ресурс, где доступно про это написано?
На этом форуме периодически пробегают такие темы, поэтому ищите, НО советую сначала сделать
работу сети через роутер, всё отстроить, добиться правильной работы и правильных
настроек, проверить безопасность и уже потом, проверив что сеть работает как надо,
сделав бэкап конфигурации, делать плюшки и что-то ограничивать.
Если процесс ограничений пойдёт не так, за счёт копии можно будет откатиться.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
MarshmallowMan
Сообщения: 4
Зарегистрирован: 14 апр 2020, 14:41

Спасибо за ответы и советы, буду разбираться :a_g_a:


evg2020
Сообщения: 19
Зарегистрирован: 08 авг 2020, 16:51

Здравствуйте, помогите настроить прокси на микроте...

Дано: микрот раздающий по dhcp интернет на машины в локальной сети, доступ в инет на этих машинах постоянный и полный.
Требуется: есть несколько машин без инета, только с локалкой. инет на них не нужен, но есть несколько программ которым нужен доступ в инет. Задача, создать на микроте прокси сервер, через который эти программки смогут выходить в интернет.
И самое главное, чтобы доступ к прокси был только из локалки, из глобала прокси сервер должен быть недоступен!

Надеюсь на помощь.


Ответить