Перенаправление трафика на proxy в локальной сети.

[vshaev]

Всем привет
есть прокси на буржуйском хосте - 55.55.55.55 dumbproxy
локально микротик
внешний белый IP - 77.77.77.77
локальная сеть - 192.168.88.0/24
в ней крутится steady-tun - 192.168.88.100. Эта штуковина "Принимает TCP-соединения на порту прослушивания и пересылает их, завернутые в TLS, к порту назначения" что и требуется для dumbproxy.
(изначально, для обхода блокировок только в браузере обходился без него, но возникла потребность завернуть в прокси клиентов, которые это сами не умеют либо сосвсем, ли не поддерживают https)
Всё это дело нормально работает в связке "браузер - steady-tun - микротик - dumbproxy". В браузере обычная настройка прокси - на 192.168.88.100:57800
Итак, задача - заворачивать помеченный трафик на steady-tun.
Пробовал много вариантов, что нашел в сети. Ничего не получается.
Пробовал и из этого viewtopic.php?f=1&t=4319 обсуждения
моё правило

Код: Выделить всё

chain=dstnat action=dst-nat to-address=192.168.88.100 to-ports=57800 protocol=tcp routing-mark=dumbproxy src-address=!192.168.88.100 in-interface=LAN-bridge dst-port=80,443

Правило работает (счетчик считает) но в логах steady-tun тишина.
Если добавляю

Код: Выделить всё

chain=srcnat action=src-nat to-address=192.168.88.1 src-address=!192.168.88.100

то микротик вообще виснет и перезагружается.
В упомянутом обсуждении изначально упоминался webproxy на микротике, но если я правильно понял далее от его использования отказались.
Помогите мне решить задачку вышеупомянутым или ещё каким другим способом.
Спасибо

[xvo]

Вместо этого:

Код: Выделить всё

chain=srcnat action=src-nat to-address=192.168.88.1 src-address=!192.168.88.100

Нужно такое:

Код: Выделить всё

chain=srcnat action=src-nat to-address=192.168.88.1 dst-address=192.168.88.100 src-address=192.168.88.0/24

Но лучше ваш прокси в отдельную подсеть.

[vshaev]

Спасибо. Попробовал. До steady-tun (192.168.88.100) всё доходит, соединение устанавливается. На внешнем прокси - тишина... Сайты не открываются. Мозилла пишет PR_END_OF_FILE_ERROR, Хром молча моментально сбрасывает страницу.
Если включить прокси в браузере на 192.168.88.100 - всё работает.

Но лучше ваш прокси в отдельную подсеть.

В упомянутом мною выше обсуждении есть такой порядок действий -

резюмируем:
1. добавляем на интерфейс микротика еще один адрес, например 192.168.2.1. либо можете разделить виртуальным интерфейсом. либо можете в другой физический интерфейс воткнуть проксю. как душе угодно.
2. меняем адрес прокси сервера на 192.168.2.2
3. разрешаем хождение трафика между 192.168.1.0/24 и 192.168.2.0/24, если таковое запрещено.
4. меняем правило на:

Код: Выделить всё

chain=dstnat action=dst-nat to-address=192.168.2.2 to-ports=3128 protocol=tcp src-address-list=!Not_Users in-interface=ether2-master-local dst-port=80,8080

5. удаляем правило:

Код: Выделить всё

chain=srcnat action=src-nat to-address=192.168.1.1 src-address-list=!Not_Users dst.port=3128

6. profit

Это то, что вы имеете ввиду?

[xvo]

Я надеюсь вы http пробуете?
С https это все не прокатит.

[vshaev]

Почему? И как сделать что бы прокатило?

[xvo]

Никак, он на то и https.
Как я понимаю только переподписывать своим сертификатом, но его тогда на конечные машины устанавливать, а если это что-то тупое, что само не умеет в proxy, то тогда и с этим будут проблемы, кмк.

[vshaev]

Моих знаний не хватает, что бы понять почему всё работает, когда на локальный прокси трафик перенаправляется средствами самого браузера и не работает, когда я пытаюсь это сделать в микротике.
Можете пояснить?

[xvo]

Потому что при настройки прокси на локальной машине она сама отправляет трафик на прокси, то есть доверяет ему.
А тут вы его перехватываете, то есть делаете ровно то, против чего, собственно, https и создан.

[vshaev]

Я правильно понимаю, что это происходит во втором правиле, которое вы для меня скорректировали?
А что если локальный прокси отправить в другую подсеть и убрать второе правило?

[xvo]

Нет, это происходит у вас на прокси-сервере.
NAT микротика тут ни при чем.