Mikrotik RB941-2nd для работы с разными сетями и прокси-сервером

[forgoty]

Доброго времени суток. Существует такая проблема:

Есть роутер Mikrotik RB941-2nd. Есть внешняя сеть компании 172.16.0.0\16. Конкретно этому микротику присвоен адрес 172.16.40.80 в локальной сети. Он же, в свою очередь, получает сеть через шлюз 172.16.42.10. В этой же локальной сети есть 3proxy server по адресу 172.16.42.12:3128, с помощью которого можно получить интернет.

Задача заключается в том, чтобы подключить пару клиентов к интернету через микротик. Они должны сидеть в своей локальной сети и беспрепятственно ходить в локальную сеть компании и в интернет. Логика работы такая: клиент делает какой-нибудь запрос. Далее, микротик решает куда его отправить. Если он адресован кому-нибудь в локальной сети компании, то он просто отправляет его туда через шлюз. Если он адресован в интернет - он отправляет его на прокси-сервер.

И еще такой вопрос: будет ли это все работать не только с http-трафиком? Например, с фтп.

Подскажите, пожалуйста. Может, уже кто-нибудь решал аналогичные проблемы.

[Chupaka]

Для первой части задачи на eth1 просто настраивается NAT Masquerade - и все ходят беспрепятственно туда, куда разрешено самому мелкотику.

С прокси есть два варианта:
1) Перехватывать правилом DST-NAT все запросы на 80 порт (http) и перенаправлять их либо сразу на прокси 172.16.42.12:3128 (если тот поддерживает прозрачный режим), либо на встроенный Web Proxy мелкотика, а у того, в свою очередь, выставить настройки Parent Proxy. Для HTTPS такой номер не пройдёт, поэтому вариант так себе.

2) Настроить у client{1,2,3} прокси 172.16.42.12:3128 - и они будут напрямую обращаться к нему, не обращая внимания на мелкотик. Тогда будет работать всё, что и у других клиентов прокси.

[forgoty]

Спасибо за ответ. Следуя вашим рекомендация кое-как получилось настроить. Использовал вариант номер 2 - настроить использования прокси-сервера на стороне клиентов. Как результат, некоторые приложения отказывались работать. Я думаю, это связано с тем, что они используют свои порты для соединения и мой прокси не может их правильно обработать. У таких приложений нету встроенных инструментов для работы с прокси.

Тем не менее, все работает стабильно. Спасибо вам за рекомендации.

[Gastello]

Перерыл весь форум, ответа не нашел. Итак ситуация. Есть Филиалы в которых 3-10 человек с принтером и микротиком, есть центральный офис с серверной где стоят железяки за Керио. Микротик через керио поднимает IPSEC. И всё хорошо, сетевые принтеры печатают, доступ к файловому серверу имеется.
Встала задача: со всех филиалов перенести программу для ведения\отправки налоговой отчётности на РДП сервер. По своему опыту идея не самая лучшая. Так как программа предоставляет внешний айпи и геолокацию, и вопрос времени когда к вам придут с вопросами. Программа умеет выходить в интернет через прокси, есть желание выпускать программу в интернет через внешний айпи каждого филиала. Так вот вопрос - на Микротике поднять проксю или при наличии IPSEC есть решение попроще?

[Chupaka]

Через какой прокси умеет программа выходить в Интернет? Web, SOCKS?

"выпускать программу в интернет через внешний айпи каждого филиала" - не совсем понятно, через IP какого филиала надо выпускать программу в данный момент времени...

Но в целом, с IPSec, наверное, проще поднять прокси на каждом из филиалов - и указывать его в настройках программы.

[Gastello]

Через какой прокси умеет программа выходить в Интернет? Web, SOCKS?

Попинал их Техподдержку. WEB proxy будет работать.

"выпускать программу в интернет через внешний айпи каждого филиала" - не совсем понятно, через IP какого филиала надо выпускать программу в данный момент времени...

Программа каждому пользователю позволяет заходить под своими настройками. Если зайти под Администратором появляется пункт - Использовать настройки прокси для всех пользователей(Будут использованы настройки Администратора). Следовательно, Главбух каждого из филиалов будет заходить под своей учёткой, и с геометкой\айпи своего офиса.

Но в целом, с IPSec, наверное, проще поднять прокси на каждом из филиалов - и указывать его в настройках программы.

Вот это я изначально и планировал, как самое простое на мой взгляд решение. Однако, думал может можно как-то в маршрутизациях прописать в обратку, или типо того. Ну да не суть. Благодарствую, полез настраивать.