 |
|
|
|
| Autor |
Nachricht |
tbc233
Anmeldungsdatum: 01.02.2005
Beiträge: 275
|
 Verfasst am:
Do 17 März, 2005 11:46 |
  |
|
Hallo,
Ich hab grade überlegt, ob es mit Hilfe unseres 1711ers möglikch wäre, unsere User dazu zu verdonnern, über einen Proxy zu surfen. Also nicht über die regulären Proxy Einstellungen des jeweiligen Clients, sondern allen ausgehend Traffic auf Port 80 an einen Proxy weiterleiten.
Das wäre dann eine Kombination aus einer DENY_ALL Regel und der Weiterleitung von allem ausgehenden Traffic auf proxy-server:3128
Hat sowas schonmal wer probiert?
l.g.
michael |
_________________
Liebe Grüße,
michael
http://www.pixelkinder.com | http://bitfuck.net | http://herzblut.fm |
|
    |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
So 20 März, 2005 20:58 |
|
|
Hi tbc233
das wird ab der Version 5.00 möglich sein (nennt sich "policy based routing")...
Gruß
Backlsash |
|
|
|
|
tbc233
Anmeldungsdatum: 01.02.2005
Beiträge: 275
|
| Verfasst am:
So 20 März, 2005 21:11 |
|
|
Alles Klar, Vielen Dank für die Antwort!
Es drängt eh nicht, ich hab nur mal gedanklich szenarien durchgespielt, wo so etwas vielleicht sinnvoll wäre.
zudem gibt es ja auch immer wieder mal ISPs, denen man unterstellt, dass Sie sowas tun. |
_________________
Liebe Grüße,
michael
http://www.pixelkinder.com | http://bitfuck.net | http://herzblut.fm |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
So 20 März, 2005 21:37 |
|
|
Hallo Backlsash,
| Zitat:
|
|
das wird ab der Version 5.00 möglich sein (nennt sich "policy based routing")...
|
Hmm - lecker! Also quellbasierendes Routing? Da freu ich mich schon richtig drauf.
Und ich hatte mich noch nicht mal getraut, dies als Wunsch zu formulieren... 
Gruß
Mario |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
So 20 März, 2005 22:05 |
|
|
Hi eddia
| Zitat:
|
|
Hmm - lecker! Also quellbasierendes Routing? Da freu ich mich schon richtig drauf
|
nicht nur quellbasiert - es geht über beliebige Firewallregeln...
| Zitat:
|
|
Und ich hatte mich noch nicht mal getraut, dies als Wunsch zu formulieren...
|
Intern (also von Entwicklerseite) stand das schon lange auf der Wunschliste.
Es ergab nun eine gute Möglichkeit es den PMs "unterzujubeln" weil sie beim Load-Balancing unbedingt die Möglichkeit haben wollten, bestimmte Dienste fest an eine der verwendeten DSL-Leitungen binden zu können.
Gruß
Backslash |
|
|
|
|
Humpe
Anmeldungsdatum: 10.07.2005
Beiträge: 11
|
| Verfasst am:
Do 21 Jul, 2005 12:03 |
|
|
| Zitat:
|
unsere User dazu zu verdonnern, über einen Proxy zu surfen. Also nicht über die regulären Proxy Einstellungen des jeweiligen Clients, sondern allen ausgehend Traffic auf Port 80 an einen Proxy weiterleiten.
|
| Zitat:
|
|
das wird ab der Version 5.00 möglich sein (nennt sich "policy based routing")...
|
Kann man mit Version 5 einen interne Portanfrage, 80 auf 3128, mappen?
Wenn ja, wie?
mfg Humpe |
|
|
|
|
langewiesche
Anmeldungsdatum: 27.04.2005
Beiträge: 921
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
|
| Verfasst am:
Fr 22 Jul, 2005 09:48 |
|
|
so richtig habe ich das auch noch nicht verstanden .. vielleicht waere ein kleines beispiel nett  |
_________________
Es gruesst Lars
VP-100 - L54xx- I1610 VPN 1611/1621B - IAP54/OAP54 - 1711/1722B /1723B - 1811/1821*+/1823B - 3x50 incl. UMTS - 3850 - 7011VPN - 7111 - 8011 - R800+ - R1011, WLCs, L315,322, |
|
 |
|
DirkK
Anmeldungsdatum: 13.06.2005
Beiträge: 224
|
| Verfasst am:
Fr 22 Jul, 2005 11:03 |
|
|
| langewiesche hat folgendes geschrieben:
|
|
so richtig habe ich das auch noch nicht verstanden .. vielleicht waere ein kleines beispiel nett
|
Ist im Referenzhandbuch von LCOS unter 7.2.2 eigentlich ganz gut erklärt:
Du erstellst eine FW-Regel von allen lokalen an alle mit Service www und Routing Tag (z.B.) 80; und eine Regel vom Proxy an alle mit Service www und Routing Tag 0.
Beim IP-Router erstellst Du in der Routing-Tabelle einen Eintrag mit IP-Adresse 255.255.255.255, Netzmaske 0.0.0.0 und Routing Tag 80, sowie als Router Deinen Proxy.
Und schon läuft der www-Verkehr über Deinen Proxy, dass die Netzlast am Router jedoch höher ist, als wenn Du bei den Clients gleich den Proxy angibst sollte klar sein. |
|
|
|
|
experde
Anmeldungsdatum: 28.03.2005
Beiträge: 105
Wohnort: Thüringen
|
| Verfasst am:
Di 03 Jan, 2006 14:45 |
|
|
Hallo,
wenn ich das versuche läuft dann der Verkehr von local Port 80 wirklich über Proxy-Port 3128?
Irgendwo muss doch da noch eine "Umleitung" rein - oder?
Ich würde gerne erreichen, das alle Anfragenvom localen Lan
(bei mir W-Lan) über einen Proxy im lokalen Lan auf Port 3128 umgeleitet werden.
Da kommt man mit der Anleitung im Handbuch nicht sehr weit.
Ich denke, die Anleitung beruht auf einer "einfachen" Umleitung - nicht
jedoch auf eine portbasierende Umleitung.
Help?
Grüße, experde |
_________________
* der Weg ist das Ziel
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte, |
|
|
|
tunichtgut
Moderator
Anmeldungsdatum: 19.10.2005
Beiträge: 214
|
| Verfasst am:
Di 03 Jan, 2006 15:22 |
|
|
| experde hat folgendes geschrieben:
|
Hallo,
wenn ich das versuche läuft dann der Verkehr von local Port 80 wirklich über Proxy-Port 3128?
Irgendwo muss doch da noch eine "Umleitung" rein - oder?
Ich würde gerne erreichen, das alle Anfragenvom localen Lan
(bei mir W-Lan) über einen Proxy im lokalen Lan auf Port 3128 umgeleitet werden.
Da kommt man mit der Anleitung im Handbuch nicht sehr weit.
Ich denke, die Anleitung beruht auf einer "einfachen" Umleitung - nicht
jedoch auf eine portbasierende Umleitung.
Help?
Grüße, experde
|
Policy based routing regelt den 'Verkehr' vom LAN ins WAN, nicht innerhalb des LANs, solche Packete passieren ohnehin nicht die Firewall. |
_________________
Gruss
tunichtgut |
|
 |
|
experde
Anmeldungsdatum: 28.03.2005
Beiträge: 105
Wohnort: Thüringen
|
| Verfasst am:
Di 03 Jan, 2006 15:40 |
|
|
Das ist mir schon klar.
Wir betreiben ein größeres Netz, wo am AP das W-Lan das lokale Netz ist und der Backbone am Lan Anschluss der WAN Anschluss.
Die Pakete durchlaufen also sehr wohl die Firewall, wir nutzen das für verschiedene Dinge, z.B. sperren von MAC Adressen, Routen zu bestimmten Host`s etc.
Eine Anleitung für o.g. Problem wäre sehr hilfreich bzw. einen Denkanstoss, wie ich dir Port`s umleiten kann.
MfG experde |
_________________
* der Weg ist das Ziel
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte, |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 03 Jan, 2006 20:27 |
|
|
Hi experde
| Zitat:
|
wenn ich das versuche läuft dann der Verkehr von local Port 80 wirklich über Proxy-Port 3128?
Irgendwo muss doch da noch eine "Umleitung" rein - oder?
|
Beim Policy based Routing gibt keine Portumsetzung, sondern nur ein paketabhängiges Routing, weshalb der Proxy bestimmte bedingungen erfüllen muß:
Der Proxy muß so konfiguriert sein, daß er
a) auf alle Zieladressen (und auf Port 80 für HTTP und 443 für HTTPS) reagiert und
b) beim Zugriff auf den wirklichen Web-Server ein NAT macht
Dann kannst du eine Regel erstellen, die Pakete an die Ports 80 und 443 taggt:
| Code:
|
Routing-Tag: 1
Aktion: übertragen
Quelle: WLAN-Netz
Ziel: Alle Stationen
Dienste: HTTP, HTTPS
|
Nun brauchst du nur noch eine "Default"-Reoute die die getaggten Pakete an den Proxy weiterleitet:
| Code:
|
IP-Adresse: 255.255.255.255
Netzmaske: 0.0.0.0
Routing-Tag: 1
Router: IP-Adresse des Proxies
|
Damit erhält der Proxy alle Pakete. Nun muß eine weitere Regel her, die es dem Proxy erlaubt nun wirklich auf das Internetz zugreifen zu können:
| Code:
|
Aktion: übertragen
Quelle: IP-Adresse des Proxies
Ziel: Alle Stationen
Dienste: HTTP, HTTPS
|
fertig...
Gruß
Backslash |
|
|
|
|
DirkK
Anmeldungsdatum: 13.06.2005
Beiträge: 224
|
| Verfasst am:
Mi 04 Jan, 2006 12:12 |
|
|
| experde hat folgendes geschrieben:
|
Wir betreiben ein größeres Netz, wo am AP das W-Lan das lokale Netz ist und der Backbone am Lan Anschluss der WAN Anschluss.
Die Pakete durchlaufen also sehr wohl die Firewall, wir nutzen das für verschiedene Dinge, z.B. sperren von MAC Adressen, Routen zu bestimmten Host`s etc.
Eine Anleitung für o.g. Problem wäre sehr hilfreich bzw. einen Denkanstoss, wie ich dir Port`s umleiten kann.
|
ALso ich habe Eure Konfiguration nicht gnz verstanden und weiss auch nicht, ob es funktioniert, aber als Denkanstoß:
Geb als Router die WAN-Seite an und richte für Die eine Weiterleitung (mit richtigem Port) auf den Proxy ein. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 04 Jan, 2006 20:22 |
|
|
Hi DirkK
| Zitat:
|
|
Geb als Router die WAN-Seite an und richte für Die eine Weiterleitung (mit richtigem Port) auf den Proxy ein
|
Ich denke mal, daß das nicht das Problem von experde ist. Er will ja gerade umgehen, daß alle User einen Proxy eintragen müssen - daher der "transparente Proxy".
Bei einem transparenten Proxy merkt der User gar nicht, daß überhaupt ein Proxy zwischen ihm und dem Web-Server steht. Selbst in einen Ethereal-Trace sieht es so aus, als ob der direkt mit dem Web-Server reden würde...
Das funktioniert nur dann, wenn das Gateway (also das LANCOM) alle Zugriffe auf (beliebiege) Web-Server auf den Proxy umleitet. Ein Port-Mapping ist dabei nicht nötig...
Gruß
Backslash |
|
|
|
|
experde
Anmeldungsdatum: 28.03.2005
Beiträge: 105
Wohnort: Thüringen
|
| Verfasst am:
Fr 06 Jan, 2006 11:30 |
|
|
Hi, genau so ist es.
Alle User sollen unbemerkt über den Proxy geleitet werden, ohne in den Browsern etc. etwas einstellen zu müssen.
Die Frage ist nur, ob die CPU der L54(a)g Modelle das bei ca. 6MBit Routingleistung Netto hergibt.
Ich werde das mal nach dem Urlaub testen und falls es interessiert auch posten.
Bis dahin Grüße und einen erfolgreichen Start ins Jahr 2006 vom experden. |
_________________
* der Weg ist das Ziel
xfach Lancom/L54g/ag/dual/3550/821/1711/L10/I10,
3xMikrotik Server, >10 Subnetze,
>250 Endgeräte, |
|
|
|
|
|
|
|
| |
|
|
