Hallo,
Ich hab grade überlegt, ob es mit Hilfe unseres 1711ers möglikch wäre, unsere User dazu zu verdonnern, über einen Proxy zu surfen. Also nicht über die regulären Proxy Einstellungen des jeweiligen Clients, sondern allen ausgehend Traffic auf Port 80 an einen Proxy weiterleiten.
Das wäre dann eine Kombination aus einer DENY_ALL Regel und der Weiterleitung von allem ausgehenden Traffic auf proxy-server:3128
Hat sowas schonmal wer probiert?
l.g.
michael
Zwangs Proxy einrichten
Moderator: Lancom-Systems Moderatoren
Zwangs Proxy einrichten
Liebe Grüße,
michael
michael
Hi eddia
Es ergab nun eine gute Möglichkeit es den PMs "unterzujubeln" weil sie beim Load-Balancing unbedingt die Möglichkeit haben wollten, bestimmte Dienste fest an eine der verwendeten DSL-Leitungen binden zu können.
Gruß
Backslash
nicht nur quellbasiert - es geht über beliebige Firewallregeln...Hmm - lecker! Also quellbasierendes Routing? Da freu ich mich schon richtig drauf
Intern (also von Entwicklerseite) stand das schon lange auf der Wunschliste.Und ich hatte mich noch nicht mal getraut, dies als Wunsch zu formulieren...
Es ergab nun eine gute Möglichkeit es den PMs "unterzujubeln" weil sie beim Load-Balancing unbedingt die Möglichkeit haben wollten, bestimmte Dienste fest an eine der verwendeten DSL-Leitungen binden zu können.
Gruß
Backslash
Interne Portanfrage, 80 auf 3128, mappen?
unsere User dazu zu verdonnern, über einen Proxy zu surfen. Also nicht über die regulären Proxy Einstellungen des jeweiligen Clients, sondern allen ausgehend Traffic auf Port 80 an einen Proxy weiterleiten.
Kann man mit Version 5 einen interne Portanfrage, 80 auf 3128, mappen?das wird ab der Version 5.00 möglich sein (nennt sich "policy based routing")...
Wenn ja, wie?
mfg Humpe
-
langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Ist im Referenzhandbuch von LCOS unter 7.2.2 eigentlich ganz gut erklärt:langewiesche hat geschrieben:so richtig habe ich das auch noch nicht verstanden .. vielleicht waere ein kleines beispiel nett
Du erstellst eine FW-Regel von allen lokalen an alle mit Service www und Routing Tag (z.B.) 80; und eine Regel vom Proxy an alle mit Service www und Routing Tag 0.
Beim IP-Router erstellst Du in der Routing-Tabelle einen Eintrag mit IP-Adresse 255.255.255.255, Netzmaske 0.0.0.0 und Routing Tag 80, sowie als Router Deinen Proxy.
Und schon läuft der www-Verkehr über Deinen Proxy, dass die Netzlast am Router jedoch höher ist, als wenn Du bei den Clients gleich den Proxy angibst sollte klar sein.
Ports mappen
Hallo,
wenn ich das versuche läuft dann der Verkehr von local Port 80 wirklich über Proxy-Port 3128?
Irgendwo muss doch da noch eine "Umleitung" rein - oder?
Ich würde gerne erreichen, das alle Anfragenvom localen Lan
(bei mir W-Lan) über einen Proxy im lokalen Lan auf Port 3128 umgeleitet werden.
Da kommt man mit der Anleitung im Handbuch nicht sehr weit.
Ich denke, die Anleitung beruht auf einer "einfachen" Umleitung - nicht
jedoch auf eine portbasierende Umleitung.
Help?
Grüße, experde
wenn ich das versuche läuft dann der Verkehr von local Port 80 wirklich über Proxy-Port 3128?
Irgendwo muss doch da noch eine "Umleitung" rein - oder?
Ich würde gerne erreichen, das alle Anfragenvom localen Lan
(bei mir W-Lan) über einen Proxy im lokalen Lan auf Port 3128 umgeleitet werden.
Da kommt man mit der Anleitung im Handbuch nicht sehr weit.
Ich denke, die Anleitung beruht auf einer "einfachen" Umleitung - nicht
jedoch auf eine portbasierende Umleitung.
Help?
Grüße, experde
* der Weg ist das Ziel
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte,
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte,
-
tunichtgut
- Moderator
- Beiträge: 214
- Registriert: 19 Okt 2005, 10:21
Re: Ports mappen
Policy based routing regelt den 'Verkehr' vom LAN ins WAN, nicht innerhalb des LANs, solche Packete passieren ohnehin nicht die Firewall.experde hat geschrieben:Hallo,
wenn ich das versuche läuft dann der Verkehr von local Port 80 wirklich über Proxy-Port 3128?
Irgendwo muss doch da noch eine "Umleitung" rein - oder?
Ich würde gerne erreichen, das alle Anfragenvom localen Lan
(bei mir W-Lan) über einen Proxy im lokalen Lan auf Port 3128 umgeleitet werden.
Da kommt man mit der Anleitung im Handbuch nicht sehr weit.
Ich denke, die Anleitung beruht auf einer "einfachen" Umleitung - nicht
jedoch auf eine portbasierende Umleitung.
Help?
Grüße, experde
Gruss
tunichtgut
tunichtgut
PbR
Das ist mir schon klar.
Wir betreiben ein größeres Netz, wo am AP das W-Lan das lokale Netz ist und der Backbone am Lan Anschluss der WAN Anschluss.
Die Pakete durchlaufen also sehr wohl die Firewall, wir nutzen das für verschiedene Dinge, z.B. sperren von MAC Adressen, Routen zu bestimmten Host`s etc.
Eine Anleitung für o.g. Problem wäre sehr hilfreich bzw. einen Denkanstoss, wie ich dir Port`s umleiten kann.
MfG experde
Wir betreiben ein größeres Netz, wo am AP das W-Lan das lokale Netz ist und der Backbone am Lan Anschluss der WAN Anschluss.
Die Pakete durchlaufen also sehr wohl die Firewall, wir nutzen das für verschiedene Dinge, z.B. sperren von MAC Adressen, Routen zu bestimmten Host`s etc.
Eine Anleitung für o.g. Problem wäre sehr hilfreich bzw. einen Denkanstoss, wie ich dir Port`s umleiten kann.
MfG experde
* der Weg ist das Ziel
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte,
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte,
Hi experde
Der Proxy muß so konfiguriert sein, daß er
a) auf alle Zieladressen (und auf Port 80 für HTTP und 443 für HTTPS) reagiert und
b) beim Zugriff auf den wirklichen Web-Server ein NAT macht
Dann kannst du eine Regel erstellen, die Pakete an die Ports 80 und 443 taggt:
Nun brauchst du nur noch eine "Default"-Reoute die die getaggten Pakete an den Proxy weiterleitet:
Damit erhält der Proxy alle Pakete. Nun muß eine weitere Regel her, die es dem Proxy erlaubt nun wirklich auf das Internetz zugreifen zu können:
fertig...
Gruß
Backslash
Beim Policy based Routing gibt keine Portumsetzung, sondern nur ein paketabhängiges Routing, weshalb der Proxy bestimmte bedingungen erfüllen muß:wenn ich das versuche läuft dann der Verkehr von local Port 80 wirklich über Proxy-Port 3128?
Irgendwo muss doch da noch eine "Umleitung" rein - oder?
Der Proxy muß so konfiguriert sein, daß er
a) auf alle Zieladressen (und auf Port 80 für HTTP und 443 für HTTPS) reagiert und
b) beim Zugriff auf den wirklichen Web-Server ein NAT macht
Dann kannst du eine Regel erstellen, die Pakete an die Ports 80 und 443 taggt:
Code: Alles auswählen
Routing-Tag: 1
Aktion: übertragen
Quelle: WLAN-Netz
Ziel: Alle Stationen
Dienste: HTTP, HTTPSCode: Alles auswählen
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 1
Router: IP-Adresse des ProxiesCode: Alles auswählen
Aktion: übertragen
Quelle: IP-Adresse des Proxies
Ziel: Alle Stationen
Dienste: HTTP, HTTPSGruß
Backslash
Re: PbR
ALso ich habe Eure Konfiguration nicht gnz verstanden und weiss auch nicht, ob es funktioniert, aber als Denkanstoß:experde hat geschrieben:Wir betreiben ein größeres Netz, wo am AP das W-Lan das lokale Netz ist und der Backbone am Lan Anschluss der WAN Anschluss.
Die Pakete durchlaufen also sehr wohl die Firewall, wir nutzen das für verschiedene Dinge, z.B. sperren von MAC Adressen, Routen zu bestimmten Host`s etc.
Eine Anleitung für o.g. Problem wäre sehr hilfreich bzw. einen Denkanstoss, wie ich dir Port`s umleiten kann.
Geb als Router die WAN-Seite an und richte für Die eine Weiterleitung (mit richtigem Port) auf den Proxy ein.
Hi DirkK
Bei einem transparenten Proxy merkt der User gar nicht, daß überhaupt ein Proxy zwischen ihm und dem Web-Server steht. Selbst in einen Ethereal-Trace sieht es so aus, als ob der direkt mit dem Web-Server reden würde...
Das funktioniert nur dann, wenn das Gateway (also das LANCOM) alle Zugriffe auf (beliebiege) Web-Server auf den Proxy umleitet. Ein Port-Mapping ist dabei nicht nötig...
Gruß
Backslash
Ich denke mal, daß das nicht das Problem von experde ist. Er will ja gerade umgehen, daß alle User einen Proxy eintragen müssen - daher der "transparente Proxy".Geb als Router die WAN-Seite an und richte für Die eine Weiterleitung (mit richtigem Port) auf den Proxy ein
Bei einem transparenten Proxy merkt der User gar nicht, daß überhaupt ein Proxy zwischen ihm und dem Web-Server steht. Selbst in einen Ethereal-Trace sieht es so aus, als ob der direkt mit dem Web-Server reden würde...
Das funktioniert nur dann, wenn das Gateway (also das LANCOM) alle Zugriffe auf (beliebiege) Web-Server auf den Proxy umleitet. Ein Port-Mapping ist dabei nicht nötig...
Gruß
Backslash
transp. Proxy
Hi, genau so ist es.
Alle User sollen unbemerkt über den Proxy geleitet werden, ohne in den Browsern etc. etwas einstellen zu müssen.
Die Frage ist nur, ob die CPU der L54(a)g Modelle das bei ca. 6MBit Routingleistung Netto hergibt.
Ich werde das mal nach dem Urlaub testen und falls es interessiert auch posten.
Bis dahin Grüße und einen erfolgreichen Start ins Jahr 2006 vom experden.
Alle User sollen unbemerkt über den Proxy geleitet werden, ohne in den Browsern etc. etwas einstellen zu müssen.
Die Frage ist nur, ob die CPU der L54(a)g Modelle das bei ca. 6MBit Routingleistung Netto hergibt.
Ich werde das mal nach dem Urlaub testen und falls es interessiert auch posten.
Bis dahin Grüße und einen erfolgreichen Start ins Jahr 2006 vom experden.
* der Weg ist das Ziel
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte,
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte,