Also, einen Reverse Proxy implementiert RouterOS nicht. Auch der Webcaching Proxy ist eher rudimentärer Natur. Wie in Deinem Link bereits steht, funktioniert ein transparenter Web Proxy nur mit http, aber nicht mit https.
Ein NAT Regel wird ab dem ersten Paket aktiv, das ist das TCP/SYN Paket und enthält auch bei SNI noch keine Angaben über die Domain. SNI mittels Layer7 Regeln kannst Du für die NAT Klassifizierung also auch noch nicht verwenden.
Grundsätzlich ist ein Reverseproxy deutlich über dem, was ein Router leistet. Er muss die SSL Verbindung terminieren und dann neue Verbindungen zu den im Hintergrund stehenden Servern aufbauen.
Die Frage ist: Betreibst Du mehrere Webserver daheim, die öffentlich (für jeden) zugänglich sein sollen?
Ab da beginnt dann Fallunterscheidung. Einen Reverseproxy brauchst Du nur dann:
- wenn für alle Webserver https auf dem gleichen Port betrieben werden muss
- wenn weniger öffentliche IPs zur Verfügung stehen, als Webserver auf unterschiedlichen VMs gehostet werden. Nachdem Du von no-ip sprichst, hast Du vermutlich nur eine (wechselnde) Public IP. Solange nun der gleiche Webserver nur mehrere VirtualHosts bedient, kann der Webserver anhand von SNI unterscheiden und den passenden vHost ansprechen.
- es Dir nicht ausreicht, alle bis auf einen per VPN zu erreichen
Gehen wir nun davon aus, dass alle drei Kriterien erfüllt sind und Du einen Reverseproxy brauchst. Dann solltest Du eine separate VM für den Reverseproxy aufmachen mit einem System Deiner Wahl. Hier wird die SSL Verbindung dann terminiert und der jeweils passende Webserver angesprochen. Möglichkeiten gibt es dafür viele, unter anderem Apache usw.
Noch zu obigen Fragen:
- no-ip ist nicht nativ in MikroTik implementiert. Mikrotik stellt aber selbst kostenfrei einen DynDNS Dienst zur Verfügung. Adresse ist dann halt abcdefgh.sn.mynetname.net. Du kannst auf diese DynDNS Adresse aber einen CNAME Deiner regulären Domain legen (zb. home.mistery.de), dann musst Du Dir den nicht merken. Alternativ gibt es diverse Fertigscripte, um no-ip zu nutzen, z.B.
No-IP DNSdynamic update - MikroTik
- VLAN Routingkapazität: Ein VLAN ist nicht anderes, als ein virtuelles Ethernet Interface. Insofern spricht man von Routingkapazität, das beinhaltet alle Interfaces. Diese Routingkapazität ist begrenzt. Solange aber nicht geroutet werden muss (weil der Traffic im gleichen Subnetz erfolgt) spielt diese keine Rolle. Wenn sich der Haupttraffic nur zwischen den beiden SFP+ Ports abspielt, erreicht dieser Traffic eh nie den Router.
- DNS: einen DNS Caching Proxy stellt RouterOS bereit
- DMZ: Eine Funktion "DMZ" gibt es bei MikroTik nicht, sofern das ein Router bietet, ist es nur eine Vorkonfiguration unterschiedlicher Regeln. Abbilden kannst Du eine DMZ problemlos mit RouterOS. Das ist ja nichts anderes als Firewallregeln zwischen den Interfaces oder Subnetzen
- Verkabelung zwischen Switch und Router: Im großen und ganzen würdest Du ein Kabel zwischen Router und Switch legen (theoretisch könntest Du mittels LinkAggregation auch mehrere legen, aber logisch bleibt es eines). Deine zwei DMZ Server legst Du in ein VLAN (entweder auf dem Virtualisierungshost oder Du taggst auf dem Switch die beiden untagged ankommenden Ports). Weitere Ports können weitere VLANs bedeuten. Die Verbindung zwischen Router und Switch ist Dein VLAN Trunk. Auf dem Router Interface legst Du nun die ankommenden VLANs an und kannst ab dort auf Interface- und/oder Adressbereich-Ebene weiter filtern. Bedenke nur, dass unterschiedliche VLANs gemäß best-practice auch unterschiedliche Subnetze bedeuten. Sobald Du also ohne statische Routen von einem Subnetz aufs andere zugreifst, kommt die Routingkapzität von oben wieder ins Spiel.
- dass ein 1HE Fachboden mit einem Mini Router (hEX) Dir zu viel Platz wegnimmt, ist unlogisch. Ein RB2011/RB3011 blockiert eine volle HE. Der hEX lässt weiteren Platz für anderen Kram auf dem Fachboden. Darin, dass diese Fachboden mit Einzelgeräte nicht "schön" sind, stimme ich Dir zu.
