Здравствуйте, не совсем шарю в сетевой адресации и совсем не шарю в микроте.
Тем не менее, может кто поможет.
Итак, что имеется:
интернет приходит в микрот в первый порт, дальше из третьего порта идет провод в сервер на windows server 2012, вторым интерфейсом сервер смотрит в локальную сеть.
На сервере настроен dhcp, и установлен usergate и в нем настроены правила интернета для пользователей сети.
Нужно:
настроить прокси с правилами доступа в интернет на микроте, чтобы микрот был воткнут в локалку, а не в сервер.
микрот - RB951G
прошивка 6.46.5
почитал пару статей на эту тему как то там все сложно.
С чего начать?
Нужно чтобы DHCP наш увидел микрот в локалке и присвоил ему адрес или наоборот сделать чтобы микрот был DHCP сервером?
Прокси сервер на микротик
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Странно, имеет сеть, сервер, компьютеры и не понимать в адресации?MarshmallowMan писал(а): ↑14 апр 2020, 15:42 Здравствуйте, не совсем шарю в сетевой адресации и совсем не шарю в микроте.
По теме дам такие советы:
1) если у Вас винда и есть АктивДиректори = тогда у Вас ДНС и DHCP должны быть от винды ТОЛЬКО
1.1) соответственно, шлюз для компов виндовый DHCP должен отдавать адрес микротика
1.2) адрес локальный микротика должен быть постоянный
1.3) в DNS виндовый также надо настроить форвард внешних зон на какой-то ДНС сервер,
или на ДНС-микротика или на ДНС-провайдера
2) прокси-сервер в наше время использовать не целесообразно
2.1) на крайний случай, поднимайте прокси на сервере, но сам сервер должен работать
с интернетом полноценно (НАТ/Маскарайдинг)
2.2) с учётом того, что сейчас уже 70% всех сайтов работают по протоколу HTTPS (SSL),
а прокси микротика не умеет SSL, юзергейт я не знаю что может, поэтому использование
прокси крайне не эффективно, но в рамках небольшой сети, с учётом всех положений
может и имеет место быть. (всё относительно)
3) если у Вас нет АД-авторизации, а просто сервер, то да, можно микротик делать как
основным шлюзом, на нём поднимать ДНС-кеширующий сервер, поднимать DHCP-сервер,
и через него делать выход в интернет для всей сети и/или для ряда адресов/хостов.
В данном случаи настройки будут почти такие же, как настраивают микротик и другие
роутеры для работы в мини-офисах или дома.
P.S.
а) Микротик настраивать только руками(не использовать визарды и мастеры настроек),
изучить ряд фактов, моментов, поискать тут основы, изучить основы сети, хотя бы сеть, маску и шлюз.
б) не забывать о защите (на самом микротике, файрвол), так и на компах, но тут должна быть
золотая середина.
-
- Сообщения: 4
- Зарегистрирован: 14 апр 2020, 14:41
Да виндовс и ADVlad-2 писал(а): ↑14 апр 2020, 17:21 По теме дам такие советы:
1) если у Вас винда и есть АктивДиректори = тогда у Вас ДНС и DHCP должны быть от винды ТОЛЬКО
1.1) соответственно, шлюз для компов виндовый DHCP должен отдавать адрес микротика
1.2) адрес локальный микротика должен быть постоянный
1.3) в DNS виндовый также надо настроить форвард внешних зон на какой-то ДНС сервер,
или на ДНС-микротика или на ДНС-провайдера
2 Почему нецелесообразно? а что целесообразно?Vlad-2 писал(а): ↑14 апр 2020, 17:21 2) прокси-сервер в наше время использовать не целесообразно
2.1) на крайний случай, поднимайте прокси на сервере, но сам сервер должен работать
с интернетом полноценно (НАТ/Маскарайдинг)
2.2) с учётом того, что сейчас уже 70% всех сайтов работают по протоколу HTTPS (SSL),
а прокси микротика не умеет SSL, юзергейт я не знаю что может, поэтому использование
прокси крайне не эффективно, но в рамках небольшой сети, с учётом всех положений
может и имеет место быть. (всё относительно)
2.2 Значит он не сможет корректно передавать эти сайты или блокировать или что?
Возможно ли что это в будущем решится прошивкой?
Юзергейт вроде все сайты открывает без проблем.
Вообще все это затеяно для того чтобы ускорить работу интернета, так как львиная доля работы проходит в системах по веб интерфейсам.
Предполагал что более аппаратный и простой микрот будет более быстро работать в роли прокси.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Использовать роутер на прямую, и + убрать "посредник", то есть убрать прокси-сервер
(кстати, прокси переводиться как посредник)
Я прокси (как службу/сервис) лет 8-9 не использую. НЕ знаю даже как она работает сейчас.MarshmallowMan писал(а): ↑14 апр 2020, 20:12 2.2 Значит он не сможет корректно передавать эти сайты или блокировать или что?
Возможно ли что это в будущем решится прошивкой?
Юзергейт вроде все сайты открывает без проблем.
Но хочу прояснить, прокси - это программная сущность, это нагрузка на процессор,
это обработка трафика.
Я думаю что в будущем, с прошивками прокси как класс пропадёт.
Так я и ответил и повторюсь: у Вас есть роутер, через него сделайте маршрутизацию и всё просто взлетит.MarshmallowMan писал(а): ↑14 апр 2020, 20:12 Вообще все это затеяно для того чтобы ускорить работу интернета, так как львиная доля работы проходит в системах по веб интерфейсам.
Предполагал что более аппаратный и простой микрот будет более быстро работать в роли прокси.
Прокся отнимает время, создаёт нагрузку и из-за того что сейчас сайты более мелкие и динамические,
прокся только делает хуже, создаёт задержку.
Ваша задача, когда компьютер набирает yandex.ru - отправить запрос на роутер, на роутере данный запрос
передать в сторону провайдера (сделав с пакетом NAT/Маскарайдинг) и при ответе, отдать запрос
на комп. Так сейчас сделано в 98% на всех роутерах (домашних даже), поэтому убирайте посредников,
проксю на микротике, юзергейт и работайте как положено и как нынче модно.
-
- Сообщения: 4
- Зарегистрирован: 14 апр 2020, 14:41
То есть можно настроить разрешенные и запрещенные сайты через маршрутизацию без использования прокси?Vlad-2 писал(а): ↑15 апр 2020, 04:27 Так я и ответил и повторюсь: у Вас есть роутер, через него сделайте маршрутизацию и всё просто взлетит.
Прокся отнимает время, создаёт нагрузку и из-за того что сейчас сайты более мелкие и динамические,
прокся только делает хуже, создаёт задержку.
Ваша задача, когда компьютер набирает yandex.ru - отправить запрос на роутер, на роутере данный запрос
передать в сторону провайдера (сделав с пакетом NAT/Маскарайдинг) и при ответе, отдать запрос
на комп. Так сейчас сделано в 98% на всех роутерах (домашних даже), поэтому убирайте посредников,
проксю на микротике, юзергейт и работайте как положено и как нынче модно.
Можете посоветовать ресурс, где доступно про это написано?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Если без панацеи, то да. Главное понять и задать логику, либо ВЫ:MarshmallowMan писал(а): ↑15 апр 2020, 06:36 То есть можно настроить разрешенные и запрещенные сайты через маршрутизацию без использования прокси?
а) разрешаете только сайты согласно Вашему списку и всё остальное закрываете;
б) всё доступно, а закрываете по Вашему списку только.
Также сюда можно добавить второй список, скажем список пользователей:
а) делать ограничения только пользователям;
б) не делать ограничений админам, руководству.
Роутер почти спокойно "пережёвывает" списки до 15 тысяч строк. Опять же это на самых обычных моделях,
где-то можно и выше, но не рекомендуется (я данные дал с учётом своей практики).
При использовании списков (Address List) можно и нужно использовать доменное имя,
роутер его сам преобразует через DNS-службу в IP (если IP много, будет много и записей, если IP
поменяется у домена, через какое-то время поменяется он и в адрес-листе).
На этом форуме периодически пробегают такие темы, поэтому ищите, НО советую сначала сделатьMarshmallowMan писал(а): ↑15 апр 2020, 06:36 Можете посоветовать ресурс, где доступно про это написано?
работу сети через роутер, всё отстроить, добиться правильной работы и правильных
настроек, проверить безопасность и уже потом, проверив что сеть работает как надо,
сделав бэкап конфигурации, делать плюшки и что-то ограничивать.
Если процесс ограничений пойдёт не так, за счёт копии можно будет откатиться.
-
- Сообщения: 4
- Зарегистрирован: 14 апр 2020, 14:41
Спасибо за ответы и советы, буду разбираться
-
- Сообщения: 19
- Зарегистрирован: 08 авг 2020, 16:51
Здравствуйте, помогите настроить прокси на микроте...
Дано: микрот раздающий по dhcp интернет на машины в локальной сети, доступ в инет на этих машинах постоянный и полный.
Требуется: есть несколько машин без инета, только с локалкой. инет на них не нужен, но есть несколько программ которым нужен доступ в инет. Задача, создать на микроте прокси сервер, через который эти программки смогут выходить в интернет.
И самое главное, чтобы доступ к прокси был только из локалки, из глобала прокси сервер должен быть недоступен!
Надеюсь на помощь.
Дано: микрот раздающий по dhcp интернет на машины в локальной сети, доступ в инет на этих машинах постоянный и полный.
Требуется: есть несколько машин без инета, только с локалкой. инет на них не нужен, но есть несколько программ которым нужен доступ в инет. Задача, создать на микроте прокси сервер, через который эти программки смогут выходить в интернет.
И самое главное, чтобы доступ к прокси был только из локалки, из глобала прокси сервер должен быть недоступен!
Надеюсь на помощь.