Proxy Em mesma Rede Não paralelo Ajuda

[Pedroh]

Isso, só que em vez de ser o IP 172.16.0.1, seria o IP do MK da mesma faixa do proxy. ( não era 192.168......?)

esse já é o ambiente real... o proxy está com o ip 172.16.0.170, meu gateway é 172.16.0.1.. tudo nesta faixa de endereço está funcionando perfeitamente..

mas tenho mais 3 redes para adicinar, mas não está funcionando quando habilito a regra do proxy.

[Pedroh]

Isso, só que em vez de ser o IP 172.16.0.1, seria o IP do MK da mesma faixa do proxy. ( não era 192.168......?)

esse já é o ambiente real... o proxy está com o ip 172.16.0.170, meu gateway é 172.16.0.1.. tudo nesta faixa de endereço está funcionando perfeitamente..

mas tenho mais 3 redes para adicinar, mas não está funcionando quando habilito a regra do proxy.

[berghetti]

você consegue pingar de uma maquina que está em outra faixa no proxy?

[Pedroh]

@berghetti ,

rapaz, aparentemente conseguir resolver de uma forma um pouco estranha..

assim que eu tiver plena certeza posto aqui pra tu ver.

obrigado por enquanto.

[Pedroh]

@berghetti ,

veja o cenário... está funcionando bem até agora.. redirecionando tudo beleza.

Veja essa questão:

Tenho dois Links. Em ambos fiz o mascaramento, porém vi um problema .. somente no link padrão está acontecendo o redirecionamento.

Quando coloco alguém pra navegar pelo link2 acontece que só navega de estiver passando fora do proxy, alguma sugestão?


veja as regras abaixo:

LINK1 = KONNET
LINK2 = GVT

obs: Lembra quando disse que resolvi de uma forma estranha.. colocando esse mascaramento funcionou.

Código :

/ip firewall nat
add action=masquerade chain=srcnat comment="MASCARAMENTO KONNET" disabled=no \
    out-interface=ether1
add action=masquerade chain=srcnat comment="MASCARAMENTO GVT" disabled=no \
    out-interface=ether9
add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\
    no protocol=tcp src-address-list=REDES
add action=accept chain=dstnat comment=\
    "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \
    src-address=!172.16.0.180
add action=dst-nat chain=dstnat comment="REDIRECIONAR PARA O PROXY" disabled=\
    no dst-port=80 protocol=tcp src-address=!172.16.0.170 to-addresses=\
    172.16.0.170 to-ports=5128

[berghetti]

opa, então, não entendi esses dois mascaramento, o que está como "PASSAR FORA DO PROXY" está conflitando com a regra "REDIRECIONAR PARA O PROXY", se a intenção foi adicionar um exceção para algum Ip, poderia fazer na propria regra do redirecionamento. se não foi essa a intenção, diz ai...

add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\
no protocol=tcp src-address-list=REDESadd action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.180

quanto a questão de navegar pelo segundo link, você fez as marcações no mangle de quem você quer que saia pelo segundo link e criou as rotas? (se colocar o segundo como principal navega?, se sim é só fazer as marcações)

e quanto a regra "MASCARAMENTO DAS REDES", se faz necessária? pois oque ela vai fazer é, quando um PC for acessar outro de rede diferente a conexão vai ser mascarada (se está funcionando só por causa dessa regra, da um conferi em todos os hosts se estão com as devidas rotas certinho).

[Pedroh]

opa, então, não entendi esses dois mascaramento, o que está como "PASSAR FORA DO PROXY" está conflitando com a regra "REDIRECIONAR PARA O PROXY", se a intenção foi adicionar um exceção para algum Ip, poderia fazer na propria regra do redirecionamento. se não foi essa a intenção, diz ai...



quanto a questão de navegar pelo segundo link, você fez as marcações no mangle de quem você quer que saia pelo segundo link e criou as rotas? (se colocar o segundo como principal navega?, se sim é só fazer as marcações)


e quanto a regra "MASCARAMENTO DAS REDES", se faz necessária? pois oque ela vai fazer é, quando um PC for acessar outro de rede diferente a conexão vai ser mascarada (se está funcionando só por causa dessa regra, da um conferi em todos os hosts se estão com as devidas rotas certinho).

Vou tentar te explicar e postar aqui.

Código :

 
1 - /ip firewall natadd action=masquerade chain=srcnat comment="MASCARAMENTO KONNET" disabled=no \ out-interface=ether1
 
2 - add action=masquerade chain=srcnat comment="MASCARAMENTO GVT" disabled=no \ out-interface=ether9
 
3- add action=masquerade chain=srcnat comment="MASCARAMENTO DAS REDES" disabled=\ no protocol=tcp src-address-list=REDES
 
4 - add action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.180
 
5- add action=accept chain=dstnat comment=\ "PASSAR POR FORA DO PROXY " disabled=no protocol=tcp \ src-address=!172.16.0.1805- add action=dst-nat chain=dstnat comment="REDIRECIONAR PARA O PROXY" disabled=\ no dst-port=80 protocol=tcp src-address=!172.16.0.170 to-addresses=\ 172.16.0.170 to-ports=5128

1- Mascaramento Link1
2- Mascaramento Link2
3- Mascaramento das Redes daqui. (Só está navegando por causa desse mascaramento, vou postar as rotas no linux)
4- Essa regra é mais por organização, tendo em vista que não sou o único que trabalha na rede aqui, tudo nela passa fora do proxy.. exceto esse host 172.16.0.180 que é o meu, onde estou fazendo os testes, consigo o bloqueio da minha maquina com esse detalhe na regra já liberando outros.
5- o Redirecionamento para o Proxy

Código :

Tabela de Roteamento IP do Kernel
Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface
0.0.0.0          172.16.0.1     255.255.255.255    UGH   0      0        0  eth0
172.16.0.0     0.0.0.0          255.255.0.0           U       0      0        0  eth0
0.0.0.0         172.16.0.1      0.0.0.0                  UG     0      0        0  eth0

Nessa terceira rota não está dizendo que qualquer rede deve sair pelo gateway 172.16.0.1 ?

Rotas e Mangle:


Fiz as rotas e marcações sim; e quando coloca o meu host pra navegar pelo Link2 ele navega, mas só se estiver passando fora do proxy.


Quando desabilito o Link1, todos navegam pelo Link2, ai sim o bloqueio acontece.
Mas se quero alguma rede ou alguém navegue pelo Link2, só consegue se eu o fizer por fora do proxy.
Se houver alguma coisa errada me fala que eu ajusto.


no log do squid consta o host e não o gateway.

[berghetti]

Então seus problemas estão quase resolvidos rsrs.

Só falta funcionar o segundo link.

Me diz uma coisa, até porque não tenho experiência com proxy, quando um cliente passa pelo proxy e depois volta pro mikrotik, qual o IP chega no mikrotik, o IP do usuário ou o IP do proxy? ( veja em firewall connection, imagino que seja o IP do usuário, mas se puder me confirma)

Aí em mangle você faz a marcação com a chain prerouting, src adres= IP do usuário action = Mark routing.

Depois em IP>route você cria uma rota com essa marcação, tendo o gateway o link 2.

[Pedroh]

@berghetti ,

sim brother.. no Mikrotik aparecem os endereços dos usuários..

marcações no mangle já está feita.. e nas rotas também.

mangle:

Código :

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
    "LINK GVT" passthrough=no protocol=tcp src-address=172.16.0.180

Código :

/ip route
add comment="NAVEGARPELO LINK DA GVT" disabled=no distance=1 dst-address=\
    0.0.0.0/0 gateway=192.168.25.1 routing-mark="LINK GVT" scope=30 \
    target-scope=10

Só falta realmente fazer com que passe no proxy quem estiver navegando por este link.

lembrando que isso acima só "funciona/navega" se o host estiver passando fora do proxy, e este é o problema.
ele tem que passar pelo proxy, é algum detalhe passando batido ai.

bom, as regas que te mostrei até agora estão corretas, certo?

[berghetti]

Então @Pedroh, a princípio está certo, só aquela regra de mascaramento das redes que acho estranho.

Quanto ao segundo link, antes dessa regra que você mostrou do mangle, crie outra e deixe acima dessa, crie essa regra:

Action aceept src adres = seu ip, dst adrres = IP do proxy

[Pedroh]

Criei a regra, mas mesmo assim não navega.

As regras de mascaramento das redes acho estranho também, mas está funcionando..sem ela não navega.

[berghetti]

Você deixou a regra de aceept acima da regra de rout-mark?

[Pedroh]

Você deixou a regra de aceept acima da regra de rout-mark?

exatamente.

[Pedroh]

Você deixou a regra de aceept acima da regra de rout-mark?

fiz da outra forma também colocando meu host em src address.
exatamente.

[berghetti]

Coloca todas as suas redes em uma regra de aceept, e retire essa regra de NAT "mascaramento das redes"

[Pedroh]

@berghetti,

fala brother...
seguinte,

lembra daquela mascaramento que você não entendia???? pois bem removi ela...
porém a unica coisa que percebi é que a rota que precisava ser feita é essa:
sem essa rota não funcionava MESMO.
Ok até aqui.

route add -net 172.16.0.0 netmask 255.255.0.0 gw 172.16.0.1

Largando aquele problema do segundo link que te falei, consto esse aqui.



percebi que estão havendo muitas requisições soberbas, veja que as redes em si estão passando pelo proxy, porém essas requisições estão um tanto quanto estranhas, e a maioria deles quando vou verificar é se sites chineses japoneses..

como devo proceder com o firewall no MK, tendo vista que o proxy busca tudo pelo mikrotik?

[berghetti]

só bloquear a porta 5128 (que é a que você usa para escutar no proxy) vindo da interface de internet.

[Pedroh]

;;; Bloqueia Acesso Externo Proxy
chain=input action=drop connection-state=new protocol=tcp in-interface=ether9 dst-port=5128

seria essa a regra néh? já havia feito.. vou ficar em observação.

[berghetti]

isso, faça em na cadeia forward também, e não esqueça do outro link que você tem para bloquear por ele tambem.

[Pedroh]

isso, faça em na cadeia forward também, e não esqueça do outro link que você tem para bloquear por ele tambem.

então,

a regra não está pegando nenhum pacote.. muito estranho. a regra está como descrito acima.. porém nada..alguma sugestão?