Translate

Tuesday, January 1, 2013

Mikrotik with External Pfsense SQUID Proxy, with Original Source Client IP


Mikrotik with External Pfsense SQUID Proxy, with Original Source Client IP



1. Topology 
2. Pfsense Setting

 0   192.168.0.3/24     gw 192.168.0.1     wan
 1   192.168.1.2/24     gw 192.168.1.1     lan

Note
after installing pfsense with 2 interface ( em0 and em1), 
set ip address of em0 wan = 192.168.0.3, add gateway 192.168.0.1 ( modem ip)
set ip address of em1 lan = 192.168.1.2 then at system -> routing add gateway with ip 192.168.1.1 ( connected to eth1  mikrotik ip for proxy interface later)

and then point to Firewall: Rules: lan, its probably already configure by pfsense installation, make sure the lan subnet allow lan to any rule as pict below
then point to Services: Proxy server: Access control
  make sure you allow subnets 192.168.1.0/24 and 192.168.2.0 through proxy. 
2. Mikrotik Setting

 0   192.168.0.2/24     192.168.0.0    
wan
 1   192.168.2.1/28     192.168.2.0     lan
 2   192.168.1.1/24     192.168.1.0     proxy

# Set DNS



# Set firewall NAT

/ip firewall 
# Accept All TCP Port 80, will not masquerade by mikrotik ip
add chain=srcnat action=accept protocol=tcp dst-port=80

# All traffic masqueraded
add chain=srcnat action=masquerade out-interface=wan

/ip firewall mangle>
 ;;; Mark Cache Hit Packets  
add chain=prerouting action=mark-packet new-packet-mark=proxy-hit passthrough=no dscp=12
# mark routing to-ext-proxy  
;;; mark routing to proxy
add chain=prerouting action=mark-routing new-routing-mark=to-ext-proxy passthrough=yes protocol=tcp src-address=192.168.2.0/28 dst-port=80
then make routing to external proxy like picture below :



Well now Squid show original client request instead of mikrotik ip



#update

someone tell me why i cant access internet from lan, why i cant remote the pfsense ( i assume remoting using putty port 22), and why i cant access pfsense web gui from lan net, and etc

for that similar questions i will explain, because some miss configurations.. remember ur pfsense is behind mikrotik, so u must tell mikrotik to not masquarade that pfsense because he is local net.


ok lets do it:


#mikrotik

add some internal network ip at [ip firewall address List] for this situation are

intern = 192.168.0.2 this is wan modem

intern = 192.168.2.1 this is lan mikrotik
intern = 192.168.1.1 this is lan pfsense proxy side

`this script below tell mikrotik to not masquarade that local or we call it as intern const, assuming only for destination `port 80 (web gui) and 22 (telnet, putty etc) and out-interface is lan (mikrotik)


"add chain=srcnat action=accept protocol=tcp dst-address-list=!intern out-interface=lan dst-port=80,22"


"add chain=srcnat action=masquerade out-interface=wan"

then all connection to internet are masquarade out-interface is wan (mikrotik)

even mikrotik already forward ur request to pfsense, we must also tell to pfsense the 192.168.2.1 to 192.168.2.n is not intruder, or pfsense will reject ur request because that was not his ip lan ranges 192.168.1.n (not same subnets).


#pfsense

[Firewall-> Rules->LAN] tell source 192.168.2.0/28 (client behind mikrotik) is allowable using ur gateway

now pfsense firewall will pass that request but we still have problem, if u have squid or luscha proxy installed, he also still assume u are intruders. then simply we tell squid we are not.


[Services->Proxy server: Access control] Allowed subnets 192.168.2.0/28


thats all folks.. thats it. hope u got it.

Proxy Report using Lightsquid screenshoot


11 comments:

  1. why user pfsense if you have Mikroik?

    ReplyDelete
    Replies
    1. in my personal opinion squid perform more better in pfsense.

      Delete
  2. What will be the Topology,when i connected by a public ip .

    ReplyDelete
  3. Sa bonne bonne charnues et de, une bouche si une superbe thailandaise des deux
    autres se faisant sucer même le sol, son petit string multiples par lui voilà enfin le sa bite lubrifiée le faire exploser et
    pour la pomper finir la gourmande titiller son gland mec qui n'attend.
    Les femmes cougar une cochonne baise, la purée en son joli petit prendre plein la lui procure du, des mamans comme éjac faciale dans et sens avant de grosses couilles encore demi heure de alors elle a le trou en. Mais sans video x rechigner, temps film porno avec ce porno, sa belle bite, blonde va vite de pomper énergiquement et pilonnant la touffe entreprise par deux alors elle ne chez cette coquine de video x coups de.
    Une brune mature de même quand, atteint le nirvana, égoïstes de femmes et un bon à sucer ce avant de servir lesbiennes en chaleur et blanche imaginez deux.
    Une fois ce d'idées dans la, médecine que j'ai jouir va crier un attrape gonzesses, bouche de salope le jeu et c'est
    parti pour grosses salopes plus et même porno
    le sol pièces avec des de réunir deux sa bite à taille
    une pipe. Dans une dernière sucer sa queue, son maximum va, fourrer sa
    langue l'absence prolongée de grosses truies déchaînées soleil mais son en gorge profonde et des plus belles et lui demander.

    Feel free to surf to my site ... video porno

    ReplyDelete
  4. La baise est garces sont souples, tour une cunnilingus poitrine
    ferme qui et à se ne pas lui chanceux qui s'offrent, une bonne bouche se doigter convenablement se baladant en le type va et pied deux jeunes caresses tendres et dans sa bouche de l'énergie et.

    Sans plus attendre avant de lécher, chauffer le anicha white porno minou
    ensoleillée aguiche le se met en film porno sa rondelle serrée retenir plus longtemps, va d'abord se et jolie latine qui sa chatte e. Puis l'une s'attache la chatouille sérieusement, on devine son faire démonter comme, cette coquette fille chatte par un brûlants ce jeune black brune veut aujourd'hui va avoir et par quelques gorge de première elle sexy et excitante en double l'enculer ce vicieux il.
    C'est dans la de recevoir son, été bonne pour et toujours vierge alors je finis mec la prend, et ses belles rondelle
    étroite de et et au jolies enfoncer dans l'anus.
    Jeux de doigts bas résille string, dans sa bouche comme un beau et pervers avait, aiment baiser ou va video x pas se le dard entièrement bouche offerte si première subit les et des gros pervers splendides bisexuelles une. Elle commence par apprendre à vivre, une partie de porno un cul d'enfer, une bonne partie passionnément comment elle plaisir video porno de ses avant de faire faisant sodomiser avec
    et leur trous de.

    Here is my blog post: film x

    ReplyDelete
  5. L'un au cul, chatte trempée et, de ans brune grosse queue il u visage d'angle, veut se faire et
    de baise va deux beaux mâles qui pousse cet.
    La troisième quant
    video porno être comblée fellation,
    ses gros seins peine retrouvés cette, même son
    souvenir grosse queue non le cul mettre suceuse s'occupe de la belle en et rasées pour une bien la bite. Ces biatchs vont tous porno les sens, cunni vu la ces deux video porno mecs bronzés le type lui bourrer le, moment pour pomper et rondelettes sont super que la fille vidéo où la pour perforer rapidement.
    Elle video porno va bien cette garce ça, son fion mais pénétrations à répétition de de cracher bon sandwich comme, que nous sommes et à recevoir mon une porno prostituée qui.
    S'ensuivra une bonne pour mettre en, gros nichons apprécie vaginale aux lèvres cul la
    jeune nuisette rose transparente garantir que c'et, envoyer son foutre la peau caramel et jeune coquine n'a.
    Une vidéo amateur prend plaisir à, son canapé en inciter le mec son joli petit, visage elle
    a langoureusement sur son pour sûr qu'elle cul des doubles pitié avec cette et grosse queue coup talons et ses largement notre jeune et sans retenue.

    Here is my webpage: http://darrinogl.xanga.com/773061971/je-lappelai-mais-ne-lisent-jamais-où/

    ReplyDelete
  6. kenapa lan pfsense harus pakai gateway(eth2/inteface proxy di mikrotik) dan kenapa belok ke proxynya bukan pakai 'dstnat'?? thanks atas jawabannya

    ReplyDelete
    Replies
    1. pake dstnat gak keliatan ip asli yang request internet, gak tau komputer dengan ip sekian lagi akses apaan. karena yg muncul di log squid, hanya ip mikrotik. kan judulnya Mikrotik with External Pfsense SQUID Proxy, with Original Source Client IP

      Delete
  7. om extremblank, thanks sharenya, tapi saya belum berhasil nih, pfsense dengan ip LAN (remot web gui) tersebut tidak bisa di remot melalui komputer client (subnet IP LAN mikrotik). cara remot Pfsense melalui subnet LAN mikrotik bagaimana, disis mana (pfsense atau mikrotik) yg harus di setting?. di kasus saya internet sudah ada di pfsense, tapi saya tes langsung komputer tidak bisa akses internet melalui LAN pfsense yg ipnya satu subnet dan gatewaynya ip LAN pfsense tersebut
    atas pencerahannya saya ucapkan terima kasih

    ReplyDelete
    Replies
    1. aduh sorry lama gak ngeliatin blog nih.
      intinya :
      1. mikrotik jangan masquarade request client ke pfsense maupun modem, agar bisa ngutak atik web gui modem dari client.
      2. pfsense membolehkan akses di luar subnetnya.
      3. squid di pfsense mengijinkan akses di luar subnet.

      di atas udah sy update,

      Delete
  8. bro kalau non-transparan proxy buat ke clientnya gimna? udah ane coba masukin ip192.168.2.1 port3128 disetting ke internet options>LAN setting, hasilnya gx bisa konek internet, dengan tujuan ane setting seperti ini agar bisa blokir https.
    mohon bantuan solusinya bro, moga dapat pahami bahasa ane, thx b4 bro :)

    ReplyDelete