me da seu msn
Versão Imprimível
me da seu msn
olá amigo,
tenho 2 link funcionando assim, no entanto meu proxy é paralelo com o mikrotik, vou ver se posso ajudá-lo:
minha arquitetura eh como na figura anexo;
meu sistema trabalha da seguinte maneira:
1 O servidor mikrotik recebe a solicitação dos clientes e marcas por rota as conexões destinadas a porta 80 e desvia estas conexões marcadas para o proxy paralelo squid;
2 O squid recebe as solicitações de acordo com a rede que solicitou utiliza como ip de saida 10.200.200.2 ou 10.200.200.3 utilizando se da função tcp_outgoing_address;
3 O gateway do proxy squid é o mesmo servidor mikrotik que recebe a conexáo dos clientes e responde ao squid na
interface 10.200.200.1;
4 como podemos observar o squid só possui um gateway, no entanto as conexões foram dividas em dois ips de acordo com a rede de entrada (ip do cliente) que solicitou, assim o mikrotik poderá trata-las e envia-las para o link adequado;
5 o mk recebe as conexões do squid e marca por rotas de acordo com o ip (10.200.200.2 ou 10.200.200.3) encaminha para o roteador 01 ou roteador 02;
6 o mk encaminha as conexòes dos cliente que não destinadas a porta 80 para o link apropriado utlizando as mesmas separacoes de redes feitas no squid para que nao se tenha problemas com paginas seguras, msn etc.
parece complicado, mas no fundo é bem fácil;
veja o mangle
1 chain=postrouting src-address=200.yyy.yyy.yyy action=mark-routing
new-routing-mark=link2 passthrough=no
2 chain=prerouting dst-address=200.201.174.0/24 action=mark-routing
new-routing-mark=main passthrough=no (conectividade social)
5 chain=prerouting dst-address=200.201.173.0/24 action=mark-routing
new-routing-mark=main passthrough=no (conectividade social)
6 chain=prerouting protocol=tcp dst-port=80 src-address-list=!desmarcar
action=mark-routing new-routing-mark=nova passthrough=no
na list desmarcar que esta negada ali em cima tem apenas a faixa de ip 10.200.200.0/24 para não criar um ciclo do tipo
squid devolve pro mk, mk devolve pro squid infinitamente.
em ip route
soh as rotas importantes
24 A S 0.0.0.0/0 r 200.xxx.xxx.gateway "interface roteador 01 sem marca"
25 A S 0.0.0.0/0 r 10.100.100.1 "interface do squid com marca chamada nova"
26 A S 0.0.0.0/0 r 200.yyy.yyy.gateway "interface do roteador 2 com marca chamada link2"
bem, em firewal basta usar o src nat ao invés de mascaradade e colocar a saida no ip do link ou no ip do link2 de acordo com a rede de entrada;
espero ter ajudado!
obs interessante: o servidor squid nao tem rotas para rede dos clientes, assim o tráfego destinado do squid para os clientes retornam também pelo gateway, na pratica o mk se encarrega de encaminha cada um ao seu lugar certo, no entanto parece estranho quando vimos a interface cliente do squid só receber tráfego e aparentemente não devolver nada.
se importa em me dar seu msn?
Esqueci de dizer uma coisa:
dessa forma é possível configurar o sarg e ele verá o ip do cliente no relatorio e não o ip do mk como acontece com o parent proxy.