Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте, не совсем шарю в сетевой адресации и совсем не шарю в микроте.
Тем не менее, может кто поможет.
Итак, что имеется:
интернет приходит в микрот в первый порт, дальше из третьего порта идет провод в сервер на windows server 2012, вторым интерфейсом сервер смотрит в локальную сеть.
На сервере настроен dhcp, и установлен usergate и в нем настроены правила интернета для пользователей сети.
Нужно:
настроить прокси с правилами доступа в интернет на микроте, чтобы микрот был воткнут в локалку, а не в сервер.
микрот - RB951G
прошивка 6.46.5
почитал пару статей на эту тему как то там все сложно.
С чего начать?
Нужно чтобы DHCP наш увидел микрот в локалке и присвоил ему адрес или наоборот сделать чтобы микрот был DHCP сервером?

MarshmallowMan писал(а): ↑14 апр 2020, 15:42 Здравствуйте, не совсем шарю в сетевой адресации и совсем не шарю в микроте.

Странно, имеет сеть, сервер, компьютеры и не понимать в адресации?

По теме дам такие советы:

1) если у Вас винда и есть АктивДиректори = тогда у Вас ДНС и DHCP должны быть от винды ТОЛЬКО
1.1) соответственно, шлюз для компов виндовый DHCP должен отдавать адрес микротика
1.2) адрес локальный микротика должен быть постоянный
1.3) в DNS виндовый также надо настроить форвард внешних зон на какой-то ДНС сервер,
или на ДНС-микротика или на ДНС-провайдера

2) прокси-сервер в наше время использовать не целесообразно
2.1) на крайний случай, поднимайте прокси на сервере, но сам сервер должен работать
с интернетом полноценно (НАТ/Маскарайдинг)
2.2) с учётом того, что сейчас уже 70% всех сайтов работают по протоколу HTTPS (SSL),
а прокси микротика не умеет SSL, юзергейт я не знаю что может, поэтому использование
прокси крайне не эффективно, но в рамках небольшой сети, с учётом всех положений
может и имеет место быть. (всё относительно)

3) если у Вас нет АД-авторизации, а просто сервер, то да, можно микротик делать как
основным шлюзом, на нём поднимать ДНС-кеширующий сервер, поднимать DHCP-сервер,
и через него делать выход в интернет для всей сети и/или для ряда адресов/хостов.
В данном случаи настройки будут почти такие же, как настраивают микротик и другие
роутеры для работы в мини-офисах или дома.

P.S.
а) Микротик настраивать только руками(не использовать визарды и мастеры настроек),
изучить ряд фактов, моментов, поискать тут основы, изучить основы сети, хотя бы сеть, маску и шлюз.
б) не забывать о защите (на самом микротике, файрвол), так и на компах, но тут должна быть
золотая середина.

Vlad-2 писал(а): ↑14 апр 2020, 17:21 По теме дам такие советы:

1) если у Вас винда и есть АктивДиректори = тогда у Вас ДНС и DHCP должны быть от винды ТОЛЬКО
1.1) соответственно, шлюз для компов виндовый DHCP должен отдавать адрес микротика
1.2) адрес локальный микротика должен быть постоянный
1.3) в DNS виндовый также надо настроить форвард внешних зон на какой-то ДНС сервер,
или на ДНС-микротика или на ДНС-провайдера

Да виндовс и AD

Vlad-2 писал(а): ↑14 апр 2020, 17:21 2) прокси-сервер в наше время использовать не целесообразно
2.1) на крайний случай, поднимайте прокси на сервере, но сам сервер должен работать
с интернетом полноценно (НАТ/Маскарайдинг)
2.2) с учётом того, что сейчас уже 70% всех сайтов работают по протоколу HTTPS (SSL),
а прокси микротика не умеет SSL, юзергейт я не знаю что может, поэтому использование
прокси крайне не эффективно, но в рамках небольшой сети, с учётом всех положений
может и имеет место быть. (всё относительно)

2 Почему нецелесообразно? а что целесообразно?
2.2 Значит он не сможет корректно передавать эти сайты или блокировать или что?
Возможно ли что это в будущем решится прошивкой?
Юзергейт вроде все сайты открывает без проблем.
Вообще все это затеяно для того чтобы ускорить работу интернета, так как львиная доля работы проходит в системах по веб интерфейсам.
Предполагал что более аппаратный и простой микрот будет более быстро работать в роли прокси.

MarshmallowMan писал(а): ↑14 апр 2020, 20:12 2 Почему нецелесообразно? а что целесообразно?

Использовать роутер на прямую, и + убрать "посредник", то есть убрать прокси-сервер
(кстати, прокси переводиться как посредник)

MarshmallowMan писал(а): ↑14 апр 2020, 20:12 2.2 Значит он не сможет корректно передавать эти сайты или блокировать или что?
Возможно ли что это в будущем решится прошивкой?
Юзергейт вроде все сайты открывает без проблем.

Я прокси (как службу/сервис) лет 8-9 не использую. НЕ знаю даже как она работает сейчас.
Но хочу прояснить, прокси - это программная сущность, это нагрузка на процессор,
это обработка трафика.
Я думаю что в будущем, с прошивками прокси как класс пропадёт.

MarshmallowMan писал(а): ↑14 апр 2020, 20:12 Вообще все это затеяно для того чтобы ускорить работу интернета, так как львиная доля работы проходит в системах по веб интерфейсам.
Предполагал что более аппаратный и простой микрот будет более быстро работать в роли прокси.

Так я и ответил и повторюсь: у Вас есть роутер, через него сделайте маршрутизацию и всё просто взлетит.
Прокся отнимает время, создаёт нагрузку и из-за того что сейчас сайты более мелкие и динамические,
прокся только делает хуже, создаёт задержку.
Ваша задача, когда компьютер набирает yandex.ru - отправить запрос на роутер, на роутере данный запрос
передать в сторону провайдера (сделав с пакетом NAT/Маскарайдинг) и при ответе, отдать запрос
на комп. Так сейчас сделано в 98% на всех роутерах (домашних даже), поэтому убирайте посредников,
проксю на микротике, юзергейт и работайте как положено и как нынче модно.

Vlad-2 писал(а): ↑15 апр 2020, 04:27 Так я и ответил и повторюсь: у Вас есть роутер, через него сделайте маршрутизацию и всё просто взлетит.
Прокся отнимает время, создаёт нагрузку и из-за того что сейчас сайты более мелкие и динамические,
прокся только делает хуже, создаёт задержку.
Ваша задача, когда компьютер набирает yandex.ru - отправить запрос на роутер, на роутере данный запрос
передать в сторону провайдера (сделав с пакетом NAT/Маскарайдинг) и при ответе, отдать запрос
на комп. Так сейчас сделано в 98% на всех роутерах (домашних даже), поэтому убирайте посредников,
проксю на микротике, юзергейт и работайте как положено и как нынче модно.

То есть можно настроить разрешенные и запрещенные сайты через маршрутизацию без использования прокси?
Можете посоветовать ресурс, где доступно про это написано?

MarshmallowMan писал(а): ↑15 апр 2020, 06:36 То есть можно настроить разрешенные и запрещенные сайты через маршрутизацию без использования прокси?

Если без панацеи, то да. Главное понять и задать логику, либо ВЫ:
а) разрешаете только сайты согласно Вашему списку и всё остальное закрываете;
б) всё доступно, а закрываете по Вашему списку только.
Также сюда можно добавить второй список, скажем список пользователей:
а) делать ограничения только пользователям;
б) не делать ограничений админам, руководству.

Роутер почти спокойно "пережёвывает" списки до 15 тысяч строк. Опять же это на самых обычных моделях,
где-то можно и выше, но не рекомендуется (я данные дал с учётом своей практики).
При использовании списков (Address List) можно и нужно использовать доменное имя,
роутер его сам преобразует через DNS-службу в IP (если IP много, будет много и записей, если IP
поменяется у домена, через какое-то время поменяется он и в адрес-листе).

MarshmallowMan писал(а): ↑15 апр 2020, 06:36 Можете посоветовать ресурс, где доступно про это написано?

На этом форуме периодически пробегают такие темы, поэтому ищите, НО советую сначала сделать
работу сети через роутер, всё отстроить, добиться правильной работы и правильных
настроек, проверить безопасность и уже потом, проверив что сеть работает как надо,
сделав бэкап конфигурации, делать плюшки и что-то ограничивать.
Если процесс ограничений пойдёт не так, за счёт копии можно будет откатиться.

Спасибо за ответы и советы, буду разбираться

Здравствуйте, помогите настроить прокси на микроте...

Дано: микрот раздающий по dhcp интернет на машины в локальной сети, доступ в инет на этих машинах постоянный и полный.
Требуется: есть несколько машин без инета, только с локалкой. инет на них не нужен, но есть несколько программ которым нужен доступ в инет. Задача, создать на микроте прокси сервер, через который эти программки смогут выходить в интернет.
И самое главное, чтобы доступ к прокси был только из локалки, из глобала прокси сервер должен быть недоступен!

Надеюсь на помощь.