MikroTik.by

Добрый день. Работает Web-proxy. Подскажите пожалуйста по настройкам микротика v6.47. Как заставить его открывать обычный сайт не использующий SSL.

ERROR: Gateway Timeout

While trying to retrieve the URL http://www.сайт.by
•Connection refused

Generated Thu, 18 Feb 2021 13:04:47 GMT by 172.18.6.253 (Mikrotik HttpProxy)

Здравствуйте.

Ошибка показывает, что прокси пытается подключиться к сайту - но не может, потому что сервер отказывает в подключении (либо кто-то по пути ему мешает). Если без прокси сайт открывается - смотрите правила фильтра файрвола, которые могут мешать роутеру (chain=input и chain=output) подключаться к этому сайту по порту 80, например.

Chupaka писал(а): ↑18 фев 2021, 18:04 Здравствуйте.

Ошибка показывает, что прокси пытается подключиться к сайту - но не может, потому что сервер отказывает в подключении (либо кто-то по пути ему мешает). Если без прокси сайт открывается - смотрите правила фильтра файрвола, которые могут мешать роутеру (chain=input и chain=output) подключаться к этому сайту по порту 80, например.

Доброе утро. У меня так. Пробовал 1 X chain=forward action=accept protocol=tcp dst-port=80 log=no log-prefix="" результата не дало.

0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 X chain=forward action=accept protocol=tcp dst-port=80 log=no log-prefix=""

2 chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""

3 chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

4 chain=input action=drop connection-state=invalid log=no log-prefix=""

5 chain=input action=accept protocol=icmp log=no log-prefix=""

6 chain=input action=drop in-interface=ether1-inet log=no log-prefix=""

7 chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

8 chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec

9 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

10 chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""

Вот это не может мешать?
Так без прокси сайт открывается или нет?

Chupaka писал(а): ↑19 фев 2021, 13:16

Код: Выделить всё

6 chain=input action=drop in-interface=ether1-inet log=no log-prefix=""

Вот это не может мешать?
Так без прокси сайт открывается или нет?

Попробовал без 6 chain=input action=drop in-interface=ether1-inet log=no log-prefix="" ничего не изменилось.

Без прокси сайт работает.

Хм... Это так любой сайт по http, или только конкретный какой-то?

Может, полный конфиг покажите?

Chupaka писал(а): ↑19 фев 2021, 14:47 Хм... Это так любой сайт по http, или только конкретный какой-то?

Может, полный конфиг покажите?

Код: Выделить всё

/export hide-sensitive

Проблема только в нашем корпоративном сайте.

Отправил в ЛС.

Ага. Как понимаю, проблема в том, что сайт хостится на внутреннем сервере, и при открытии его от клиента напрямую срабатывают правила DST-NAT, которые заворачивают порт 80 на внутренний сервер. А при попытке открыть сайт через прокси сам прокси инициирует соединение с внешним адресом роутера, правила DST-NAT на такой трафик не действуют, веб-интерфейс на роутере отключен - вот в результате и получается Connection refused.

Я вижу, у вас уже в DNS запись для сайта с указанием на внутренний адрес есть, но почему-то выключена. Это в целом оптимальное решение, так что просто включите её?..

Chupaka писал(а): ↑19 фев 2021, 16:45 Ага. Как понимаю, проблема в том, что сайт хостится на внутреннем сервере, и при открытии его от клиента напрямую срабатывают правила DST-NAT, которые заворачивают порт 80 на внутренний сервер. А при попытке открыть сайт через прокси сам прокси инициирует соединение с внешним адресом роутера, правила DST-NAT на такой трафик не действуют, веб-интерфейс на роутере отключен - вот в результате и получается Connection refused.

Я вижу, у вас уже в DNS запись для сайта с указанием на внутренний адрес есть, но почему-то выключена. Это в целом оптимальное решение, так что просто включите её?..

Сайт физически расположен у нас в сети хост ДНС предоставляет хостер.

Были такие мысли в голове. Я пробовал с включенной DNS static записью указывающей на IP адрес сайта в локалке. Результата нету. Сегодня еще раз раскоментил и проверил. (

Отрицательный результат - тоже результат. А вот "результата нету" - это совсем загадочно и непонятно.

Очищали ли кэш DNS перед повторной проверкой?

Chupaka писал(а): ↑21 фев 2021, 23:41 Отрицательный результат - тоже результат. А вот "результата нету" - это совсем загадочно и непонятно.

Очищали ли кэш DNS перед повторной проверкой?

нет не очищал кэш.

А сейчас?

Chupaka писал(а): ↑23 фев 2021, 12:50А сейчас?

кэш очистил.

в IE по прежнему не отображает.

ERROR: Gateway Timeout

While trying to retrieve the URL http://www.сайт.by/:
•Connection refused

Your cache administrator is admin@сайт.by.

Generated Wed, 24 Feb 2021 12:43:51 GMT by 172.18.6.253 (Mikrotik HttpProxy)

На всякий случай: мы ведь про кэш роутера говорим, а не про кэш клиента?.. А то упоминание IE насторожило...

Chupaka писал(а): ↑24 фев 2021, 16:53 На всякий случай: мы ведь про кэш роутера говорим, а не про кэш клиента?.. А то упоминание IE насторожило...

да все правильно. Есть предположение, что проблема в синтаксисе в адресной строке ERL. Он внутри сети через WWW не хочет.

Ага, ну так сайт.by и www.сайт.by - это два совершенно разных домена. Вам надо добавить в DNS тот, который должен открываться. Например, оба

Chupaka писал(а): ↑25 фев 2021, 14:20 Ага, ну так сайт.by и www.сайт.by - это два совершенно разных домена. Вам надо добавить в DNS тот, который должен открываться. Например, оба

В связи с изоляций. Приостановлю свой вопрос на неделю. Спасибо.

За первые пару дней можно изучить вопрос удалённого доступа - и продолжить эксперименты

Вопрос был решен добавлением в DNS static имени сайта с и без www. c указанием его локального IP адреса. Плюс очистка DNS кеша. Спасибо за помощь Chupaka.