Russian Users MikroTik | Форум пользователей MikroTik

Добрый день.
Дано:
Сеть вышестоящего учреждения, с которой приходит кабель. С него же раздается dhcp, в ней находятся некоторые нужные ресурсы и интернет, все это раздается нам в офис.
Задача:
Нужно как-то поставить между сетью удаленной и нашей RB3011UiAS-RM, чтобы он рулил доступом в интернет, но при этом прямой доступ к ресурсам удаленной сети остался и dhcp шел оттуда же. (так сказать прозрачный шлюз, от которого требуется только web proxy).
Нужны советы и вообще, возможно ли так сделать ?

Конечно можно, даже нужно для контроля за сетью...

gmx писал(а):Конечно можно, даже нужно для контроля за сетью...

Я поэтому то и обратился. Нужна помощь в настройках. Как правильно реализовать вышеописанное. Чтобы и выход в интернет контролировать и сеть не делить на внешнюю и внутреннюю.

Я конечно понимаю, что, при желании, гвозди можно и микроскопом забивать, но все же в качестве прокси данная железяка не годится.

End писал(а):

gmx писал(а):Конечно можно, даже нужно для контроля за сетью...

Я поэтому то и обратился. Нужна помощь в настройках. Как правильно реализовать вышеописанное. Чтобы и выход в интернет контролировать и сеть не делить на внешнюю и внутреннюю.

Ну как не делить? Все равно делить придется. Можно просто маской в одной подсети, а можно и разные подсети сделать и маршрутизацию между ними.
Чтобы микротик полноценно работал, он должен стать шлюзом для ваших компьютеров.

Хотя можно и проще. Поднимаете прокси на вашем микротике. Втыкаете в него провод от вышестоящего шлюза. Микротик получит от него IP и увидит интернет. Ну а дальше руками прописывайте прокси на всех компьютерах.

Но это не совсем правильный подход. Более правильно так: вы организуете у себя новую подсеть, отличную от удаленной сети. Ваш микротик получает инет от удаленной сети, раздает его вашей подсети (неважно как, можно и через прокси, можно простым NAT - это уж как будет удобно). Чтобы компы вашей подсети видели удаленную подсеть нужно прописать два маршрута один на вашем микротике, а другой на шлюзе удаленной сети (может быть тоже Микротик?) Так вы получите полноценный инструмент в свои руки, а не костыль который вы хотите переделать.

Но, повторюсь, костыль тоже можно прекрутить. Хоты вы же понимаете, что если у пользователей полный доступ к компу, то они своими руками убирают прокси и прописывают шлюз, то все пойдет напрямую на вышестоящий роутер, миную ваш микротик. То есть очень легко все это обойти.

Вы блокировками озаботились??? Для этого прокси???

Подумайте, может проще, купить услуги SkyDns и решить все проблемы без костылей?? Не сочтите за рекламу. Я сам пользуюсь SkyDns там, где необходимы блокировки.

Кстати, а сколько компов в вашей сети? Скорость какая в мир??? А то может у вас три сотни компов и Uplink 1Г, то тогда слаба эта железка...

gmx писал(а):Но, повторюсь, костыль тоже можно прекрутить. Хоты вы же понимаете, что если у пользователей полный доступ к компу, то они своими руками убирают прокси и прописывают шлюз, то все пойдет напрямую на вышестоящий роутер, миную ваш микротик. То есть очень легко все это обойти.

Даже если в браузере прописать прокси, то остальной софт с компов все равно пойдет в сторону основного шлюза, который получают от дхцп-сервера.

Чтобы компы вашей подсети видели удаленную подсеть нужно прописать два маршрута один на вашем микротике, а другой на шлюзе удаленной сети

Никаких маршрутов писать не нужно.

Более правильно так: вы организуете у себя новую подсеть, отличную от удаленной сети. Ваш микротик получает инет от удаленной сети, раздает его вашей подсети (неважно как, можно и через прокси, можно простым NAT - это уж как будет удобно).

А как через прокси без ната?

Dr_Friend!!! Надо больше читать и меньше писать.

По вашим замечаниям: при использовании прокси, предполагется, что основного шлюза в настройках нет. Как этого добиться: настройкой вручную или на DHCP сервере - вопрос другой.

Если подсети будут разные, то маршруты придется писать. На удаленном шлюзе точно нужно. Допускаю, что на вновь установленном микротике не потребуется, так как и так все пакеты будут уходить в сторону удаленного шлюза. Ну или от DHCP удаленного шлюза он их может получить. Вариантов много.

Читайте лучше. Я написал, что можно организовать доступ через прокси, а можно и без него, через обычный нат, без дополнительных плюшек.