Si votre entreprise possède au moins un routeur MikroTik, vous disposez déjà d'un outil intégré pour contrôler le trafic, bloquer les sites indésirables et protéger le réseau d'entreprise. La plupart des administrateurs système n'utilisent même pas la moitié de ses capacités. Dans ce guide, nous allons voir comment configurer un proxy directement sur MikroTik — sans serveurs supplémentaires ni coûts superflus.
Qu'est-ce que le Web Proxy dans MikroTik et pourquoi est-il nécessaire pour les entreprises
MikroTik RouterOS est un système d'exploitation complet pour le matériel réseau, qui inclut un serveur proxy HTTP/HTTPS intégré. Il s'appelle Web Proxy et est disponible à partir des licences de base. En substance, c'est un nœud intermédiaire entre les utilisateurs de votre réseau et Internet : tout le trafic passe par lui, et vous avez un contrôle total sur ce qui se passe dans le réseau.
En quoi cela diffère-t-il d'un pare-feu classique ? Un pare-feu fonctionne au niveau des adresses IP et des ports — il ne "comprend" pas le contenu des requêtes. Le proxy fonctionne au niveau des applications : il voit des URL spécifiques, des domaines, des types de contenu. Cela offre un niveau de contrôle fondamentalement différent.
Le Web Proxy intégré dans MikroTik peut :
- Mettre en cache le contenu web — réduit la charge sur la bande passante Internet de 30 à 40 % dans les bureaux avec une navigation active
- Bloquer l'accès à des sites spécifiques, des domaines, des modèles d'URL
- Restreindre l'accès par adresses IP des utilisateurs ou sous-réseaux
- Journaliser toutes les requêtes HTTP — qui, où et quand s'est connecté
- Fonctionner en mode transparent — les utilisateurs ne remarquent pas sa présence
- Rediriger le trafic vers un serveur proxy externe (parent proxy)
Il est important de comprendre la limitation : le Web Proxy intégré dans MikroTik fonctionne uniquement avec le trafic HTTP en mode natif. Le trafic HTTPS ne peut être intercepté qu'en mode transparent avec certaines limitations, ou via la configuration d'un parent proxy. Pour une inspection complète du HTTPS, des solutions supplémentaires sont nécessaires — nous en parlerons dans la section sur les proxys externes.
💡 À savoir
Le Web Proxy dans MikroTik fonctionne sur RouterOS version 2.9 et supérieure. Vous pouvez vérifier la version du firmware dans le menu Système → RouterBoard ou avec la commande :put [/system routerboard get current-firmware] dans le terminal.
Cas d'utilisation : qui a besoin de ce paramètre et pourquoi
Avant de passer aux détails techniques, examinons les tâches commerciales spécifiques que le proxy sur MikroTik résout. Cela aidera à comprendre quelles configurations vous sont nécessaires.
Bureau avec des employés
Le scénario le plus courant. Objectifs : bloquer les réseaux sociaux pendant les heures de travail, interdire le téléchargement de torrents, limiter l'accès aux services de streaming qui "mangent" la bande passante. Le proxy transparent sur MikroTik résout tout cela sans installation d'agents sur les ordinateurs des employés. Les employés ne savent même pas que leur trafic est filtré — tout fonctionne automatiquement.
Cafés Internet, espaces de coworking, hôtels
Ici, le proxy est nécessaire pour deux choses : la mise en cache (le contenu populaire se charge plus rapidement et ne consomme pas de bande passante à nouveau) et le filtrage de base du contenu illégal. La mise en cache est particulièrement pertinente en cas de bande passante Internet limitée ou coûteuse.
Agences de marketing et équipes digitales
Scénario spécifique : les équipes qui travaillent avec de nombreux comptes publicitaires sur Facebook Ads, TikTok Ads, Instagram, utilisent souvent le MikroTik d'entreprise comme passerelle pour router le trafic via des proxys externes. Différents employés ou stations de travail accèdent à Internet via différentes adresses IP — c'est critique pour travailler avec plusieurs comptes sur une même plateforme.
Fournisseurs et FAI
Les petits fournisseurs utilisent le proxy de mise en cache MikroTik pour réduire la charge sur le canal principal. Avec un grand nombre d'abonnés regardant les mêmes nouvelles ou YouTube, la mise en cache permet d'économiser considérablement de la bande passante.
| Scénario | Objectif principal | Fonctions nécessaires |
|---|---|---|
| Bureau | Contrôle d'accès | Filtrage d'URL, journaux |
| Café / coworking | Économie de bande passante | Mise en cache, filtrage de base |
| Agence digitale | Différentes IP pour les comptes | Parent proxy, routage |
| Fournisseur | Réduction de la charge sur le canal | Mise en cache, statistiques |
Ce qu'il faut avant de commencer la configuration
Avant de commencer la configuration, assurez-vous d'avoir tout ce qu'il vous faut. Omettre cette étape est la cause de 80 % des problèmes lors de la configuration.
Accès au routeur : Vous aurez besoin d'accéder à l'interface web de MikroTik (Winbox ou WebFig) avec des droits d'administrateur. Winbox est la meilleure option, car elle donne un accès complet à tous les paramètres. Vous pouvez le télécharger gratuitement depuis le site officiel de MikroTik.
Version de RouterOS : Pour un fonctionnement stable du Web Proxy, RouterOS 6.x ou 7.x est recommandé. Vérifiez la version via Système → Packages. Si la version est obsolète, mettez à jour via Système → Packages → Vérifier les mises à jour.
Espaces libres sur le disque : Le cache du proxy est stocké sur le disque du routeur. Pour la mise en cache, il faut au moins 50 à 100 Mo d'espace libre. Vérifiez cela via Fichiers dans Winbox. Sur les routeurs avec une petite mémoire flash (8 Mo ou moins), il est préférable de désactiver la mise en cache.
Schéma réseau : Notez ou dessinez les sous-réseaux que vous avez, quel interface regarde vers Internet (WAN), et quel autre vers le réseau interne (LAN). Sans cette compréhension, il sera impossible de configurer les règles NAT pour le proxy transparent.
⚠️ Important : faites une sauvegarde de la configuration !
Avant tout changement, créez une copie de sauvegarde : Fichiers → Sauvegarde ou via le terminal avec la commande /system backup save name=backup-before-proxy. Cela vous protégera contre la perte d'accès au routeur en cas d'erreur dans les règles du pare-feu.
Étape 1 : Activer le Web Proxy sur MikroTik
L'activation du Web Proxy est la première étape. Tout se fait via l'interface graphique de Winbox en quelques minutes.
Via Winbox (recommandé) :
- Ouvrez Winbox et connectez-vous au routeur
- Dans le menu de gauche, sélectionnez IP → Web Proxy
- Dans la fenêtre qui s'ouvre, cochez Enabled
- Définissez le port — par défaut 8080, vous pouvez le laisser ou le changer
- Dans le champ Max Cache Size, indiquez la taille du cache (par exemple, 100 Mo) ou choisissez illimité si l'espace le permet
- Cliquez sur Apply, puis OK
Via le terminal (pour ceux qui préfèrent la ligne de commande) :
/ip proxy set enabled=yes port=8080 max-cache-size=100000KiB
Après avoir activé, vérifiez que le proxy a démarré. Dans le terminal, exécutez :
/ip proxy print
Dans la sortie, cela devrait être enabled: yes. Si vous voyez enabled: no, cela signifie qu'il y a eu un problème, répétez les étapes.
À ce stade, le proxy est activé, mais ne capture pas encore le trafic automatiquement. Les utilisateurs doivent le configurer manuellement dans les paramètres de leur navigateur (IP du routeur, port 8080). Pour le faire automatiquement pour tout le réseau, un mode transparent est nécessaire, que nous expliquons à l'étape suivante.
Faites également attention au paramètre Cache Path — il indique où le cache est stocké. Par défaut, c'est la mémoire intégrée du routeur. Si vous avez une clé USB ou une carte mémoire, il est préférable de déplacer le cache là-bas — cela augmentera le volume et réduira l'usure de la mémoire intégrée.
Étape 2 : Configuration du proxy transparent via le pare-feu NAT
Le proxy transparent est un mode où tout le trafic HTTP du réseau local est automatiquement redirigé via le serveur proxy. Les utilisateurs n'ont rien à configurer dans leurs navigateurs. Du point de vue de l'employé, tout fonctionne comme d'habitude, mais en réalité, chaque requête passe par le proxy.
Cela se réalise via une règle NAT dans le pare-feu MikroTik. La règle intercepte tout le trafic TCP sortant sur le port 80 (HTTP) et le redirige vers le port du proxy (8080).
Via Winbox :
- Allez dans IP → Firewall → NAT
- Cliquez sur le bouton + (ajouter une règle)
- Dans l'onglet Général, définissez :
- Chaîne : dstnat
- Protocole : tcp
- Port de destination : 80
- Interface d'entrée : votre interface LAN (par exemple, ether2 ou bridge-local)
- Dans l'onglet Action, définissez :
- Action : redirect
- Vers les ports : 8080
- Cliquez sur OK
Via le terminal :
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 in-interface=ether2 \
action=redirect to-ports=8080
Remplacez ether2 par le nom de votre interface LAN. Si vous avez plusieurs interfaces LAN regroupées dans un bridge, indiquez le nom de l'interface bridge.
📌 L'ordre des règles est important !
MikroTik applique les règles NAT dans l'ordre de haut en bas. Assurez-vous que la règle pour le proxy transparent est avant la règle masquerade (si elle existe). Vous pouvez changer l'ordre en faisant glisser dans Winbox ou avec la commande /ip firewall nat move [find] destination=0.
Après avoir ajouté la règle, vérifiez son fonctionnement : ouvrez n'importe quel site HTTP depuis un ordinateur dans le réseau local. Si le proxy fonctionne correctement, la page s'ouvrira et un enregistrement apparaîtra dans les journaux du proxy (IP → Web Proxy → Access). Si la page ne s'ouvre pas, vérifiez le nom de l'interface et le port du proxy.
Étape 3 : Règles de filtrage — bloquer les sites et catégories
C'est la section clé pour ceux qui souhaitent contrôler l'accès des employés à Internet. Le Web Proxy dans MikroTik permet de créer des règles flexibles : bloquer des domaines spécifiques, des modèles d'URL, ou au contraire — autoriser uniquement certaines ressources.
Les règles d'accès se configurent dans IP → Web Proxy → Access. Chaque règle a des conditions (ce qu'il faut vérifier) et une action (ce qu'il faut faire : allow ou deny).
Blocage d'un domaine spécifique (par exemple, vk.com) :
/ip proxy access add dst-host=vk.com action=deny comment="Block VK" add dst-host=*.vk.com action=deny comment="Block VK subdomains"
Blocage par masque d'URL (par exemple, toutes les pages YouTube) :
/ip proxy access add dst-host=*.youtube.com action=deny comment="Block YouTube" add dst-host=youtube.com action=deny comment="Block YouTube main"
Autoriser l'accès uniquement pour un sous-réseau spécifique (par exemple, seul le département IT peut accéder à GitHub) :
/ip proxy access add src-address=192.168.1.10/32 dst-host=github.com action=allow add dst-host=github.com action=deny
Blocage par extension de fichiers (interdiction de télécharger .exe, .torrent) :
/ip proxy access add path=*.exe action=deny comment="Block EXE downloads" add path=*.torrent action=deny comment="Block Torrent files" add path=*.zip action=deny comment="Block ZIP downloads"
Faites attention à l'ordre des règles : MikroTik les vérifie de haut en bas et s'arrête à la première correspondance. Les règles allow pour des IP spécifiques doivent être au-dessus des règles deny pour les mêmes domaines.
Via Winbox, les règles s'ajoutent dans IP → Web Proxy → onglet Access → bouton +. L'interface est intuitive : vous choisissez la condition (Source Address, Destination Host, Path, Method) et l'action (Allow/Deny).
⚠️ Limitation : HTTPS n'est pas filtré directement
Les règles du Web Proxy ne fonctionnent qu'avec le trafic HTTP. Pour bloquer les sites HTTPS (qui sont maintenant la majorité), utilisez également des règles dans IP → Firewall → Layer 7 Protocols ou bloquez par adresses IP via le pare-feu classique. Un filtrage complet du HTTPS nécessite une solution distincte — par exemple, un proxy externe avec inspection SSL.
Étape 4 : Mise en cache du trafic pour économiser de la bande passante
La mise en cache est l'une des principales raisons pour lesquelles on active le proxy sur MikroTik dans les petits bureaux et établissements d'enseignement. Le principe est simple : si 20 employés ouvrent la même page d'actualités, sans cache, le routeur la télécharge 20 fois. Avec le cache — une seule fois, et les 19 autres obtiennent les données de la mémoire locale du routeur instantanément.
Les paramètres de cache se trouvent dans IP → Web Proxy. Les principaux paramètres :
| Paramètre | Description | Recommandation |
|---|---|---|
| max-cache-size | Taille maximale du cache | 50–500 Mo selon la mémoire |
| max-cache-object-size | Taille max d'un objet dans le cache | 2048–4096 Ko |
| cache-path | Chemin de stockage du cache | Clé USB si disponible |
| max-fresh-time | Temps de conservation d'un objet dans le cache | 3 jours (259200 sec) |
Configuration via le terminal :
/ip proxy
set max-cache-size=102400KiB \
max-cache-object-size=4096KiB \
max-fresh-time=3d
Pour vérifier l'efficacité du cache, utilisez la commande :
/ip proxy monitor
Faites attention aux indicateurs hits et misses. Un bon indicateur est lorsque les hits représentent 20 à 40 % du nombre total de requêtes. Si les hits sont proches de zéro, soit la majorité du trafic est HTTPS (il n'est pas mis en cache), soit le cache est trop petit.
Un point important : les sites modernes utilisent de plus en plus les en-têtes Cache-Control: no-store ou no-cache, qui interdisent la mise en cache. Par conséquent, en pratique, l'efficacité du cache en 2024 est inférieure à celle d'il y a 5 à 10 ans. Néanmoins, pour les ressources statiques (images, CSS, fichiers JS), le cache fonctionne toujours bien.
Étape 5 : Connexion à un serveur proxy externe via MikroTik
C'est le scénario le plus intéressant pour ceux qui souhaitent non seulement filtrer le trafic, mais également contrôler complètement l'adresse IP par laquelle le réseau d'entreprise ou des appareils individuels accèdent à Internet. MikroTik prend en charge la fonction Parent Proxy — lorsque toutes les requêtes du proxy local sont transmises à un serveur proxy externe supérieur.
Pourquoi cela est-il nécessaire dans la pratique :
- Changement d'IP pour tout le réseau — tout le trafic du bureau sort par l'IP du proxy externe, et non par votre véritable IP de fournisseur
- Contourner les restrictions régionales — accès aux ressources bloquées dans votre région
- Différentes IP pour différents appareils — via le routage, différentes stations de travail utilisent différents proxys externes
- Protection de la véritable IP de l'entreprise — les services externes voient l'IP du proxy, et non votre adresse d'entreprise
Configuration du Parent Proxy via Winbox :
- Allez dans IP → Web Proxy
- Trouvez la section Parent Proxy
- Entrez Parent Proxy Address — l'adresse IP du serveur proxy externe
- Indiquez Parent Proxy Port — le port du proxy (généralement 8080, 3128 ou autre)
- Cliquez sur Apply
Via le terminal :
/ip proxy set parent-proxy=203.0.113.10 parent-proxy-port=8080
Remplacez 203.0.113.10 et 8080 par les données réelles de votre serveur proxy.
Pour les tâches d'entreprise où la stabilité et l'anonymat sont importants, les proxies résidentiels sont utilisés comme parent proxy — ils ont des adresses IP de véritables utilisateurs domestiques, rendant le trafic indiscernable de celui d'un utilisateur ordinaire. Cela est particulièrement important lors de l'utilisation de plateformes qui analysent le comportement et le type de connexion.
Si votre équipe doit simuler un trafic mobile — par exemple, pour tester des campagnes publicitaires sur Facebook Ads ou Instagram depuis des appareils mobiles — les proxies mobiles conviennent comme parent proxy. Ils fonctionnent via de véritables cartes SIM des opérateurs de télécommunications et fournissent des IP des réseaux mobiles 3G/4G/5G.
📌 Important : le Parent Proxy fonctionne uniquement pour HTTP
Le Web Proxy intégré de MikroTik ne transmet que le trafic HTTP via le parent proxy. Pour router tout le trafic (y compris HTTPS) via un proxy externe, une approche différente est nécessaire — la configuration de Policy Based Routing ou de SOCKS proxy en combinaison avec des règles iptables sur un serveur Linux distinct dans le réseau.
Surveillance et journalisation des requêtes
L'un des principaux arguments en faveur du proxy dans un environnement d'entreprise est la possibilité de voir ce que font les utilisateurs sur Internet. Le Web Proxy de MikroTik peut journaliser toutes les requêtes HTTP : qui (adresse IP), où (URL), quand, quel méthode de requête et statut de réponse.
Activation de la journalisation :
/ip proxy set log-connect=yes
Après activation, les journaux apparaîtront dans Log (menu dans Winbox). Pour un affichage pratique, filtrez par sujet web-proxy.
Pour un stockage à long terme des journaux et une analyse pratique, configurez l'envoi vers un serveur Syslog externe :
/system logging action add name=remote-syslog target=remote remote=192.168.1.100 remote-port=514 /system logging add action=remote-syslog topics=web-proxy
Remplacez 192.168.1.100 par l'IP de votre serveur syslog. Vous pouvez utiliser Graylog, Splunk ou un simple rsyslog sur Linux comme serveur syslog.
Une commande utile pour voir les statistiques du proxy en temps réel :
/ip proxy monitor
Ici, vous verrez : le nombre de connexions actives, le nombre total de requêtes, les hits dans le cache, le volume de données transférées. Ces données aident à évaluer la charge sur le routeur et l'efficacité de la mise en cache.
Remarque importante concernant le RGPD et la législation du travail : si vous journalisez le trafic des employés, assurez-vous que cela est prévu par le contrat de travail ou la politique de sécurité de l'entreprise. Dans certains pays, la surveillance de l'activité Internet des employés sans leur notification constitue une violation de la législation.
Erreurs courantes et comment les corriger
Nous avons rassemblé les problèmes les plus fréquents rencontrés lors de la configuration du Web Proxy sur MikroTik et les moyens de les résoudre.
Erreur 1 : Internet ne fonctionne plus après la configuration du proxy transparent
Cause : Interface LAN mal spécifiée dans la règle NAT, ou la règle est mal positionnée.
Solution : Vérifiez le nom de l'interface avec la commande /interface print. Assurez-vous que vous spécifiez bien l'interface à laquelle les utilisateurs sont connectés. Si vous avez utilisé un bridge, indiquez le bridge, et non le port physique.
Erreur 2 : Les sites HTTPS ne sont pas bloqués par les règles du Web Proxy
Cause : Le Web Proxy dans MikroTik n'intercepte pas le trafic HTTPS. Les règles dans IP → Web Proxy → Access ne fonctionnent que pour le HTTP.
Solution : Pour bloquer les sites HTTPS, utilisez Layer 7 Protocols ou Address Lists dans le pare-feu. Par exemple, ajoutez les adresses IP du site souhaité à la liste et bloquez-le via IP → Firewall → Filter Rules.
Erreur 3 : Le proxy fonctionne, mais le cache ne se remplit pas
Cause : La plupart des sites modernes utilisent HTTPS et des en-têtes interdisant la mise en cache. Le cache ne fonctionne que pour le HTTP.
Solution : C'est un comportement normal pour le web moderne. Le cache se remplira avec des ressources statiques (images, fichiers) provenant de sites HTTP. Si le cache est critique, envisagez des solutions spécialisées comme Squid sur un serveur distinct avec SSL-bump.
Erreur 4 : Le routeur fonctionne lentement après l'activation du proxy
Cause : Le processeur faible du routeur ne parvient pas à gérer la charge du proxy avec un grand nombre d'utilisateurs.
Solution : Vérifiez la charge du CPU avec la commande /system resource print. Si le CPU est constamment au-dessus de 80 % — réduisez la taille du cache ou déplacez le proxy sur un serveur distinct (Squid sur Ubuntu/Debian). Dans ce cas, MikroTik est utilisé uniquement comme passerelle, redirigeant le trafic vers le proxy externe.
Erreur 5 : Le Parent Proxy ne fonctionne pas — les sites s'ouvrent avec la véritable IP
Cause : Le Parent Proxy dans MikroTik ne s'applique qu'au trafic qui passe effectivement par le Web Proxy. Les requêtes HTTPS et le trafic non intercepté par la règle NAT passent directement.
Solution : Assurez-vous que la règle du proxy transparent (redirection vers le port 8080) est active et correctement positionnée. Pour rediriger tout le trafic via un proxy externe, une configuration plus complexe utilisant Policy Based Routing sera nécessaire.
| Problème | Diagnostic rapide | Solution |
|---|---|---|
| Pas d'Internet | /interface print | Vérifiez le nom de l'interface LAN |
| HTTPS non bloqué | Vérifiez le protocole du site | Utilisez Layer 7 ou blocage IP |
| Le routeur est lent | /system resource print | Réduisez le cache ou déplacez le proxy |
| Le proxy parent ne fonctionne pas | Vérifiez la règle NAT de redirection | Assurez-vous que le trafic passe par le proxy |
Conclusion
La configuration du Web Proxy sur MikroTik est une solution pratique pour contrôler le trafic d'entreprise sans serveurs et licences supplémentaires. En quelques étapes, vous obtenez : le filtrage des sites indésirables, la mise en cache pour économiser de la bande passante, la journalisation de l'activité des utilisateurs et la possibilité de router le trafic via des serveurs proxy externes.
La principale chose à retenir : le proxy intégré de MikroTik gère bien le trafic HTTP, mais pour une protection complète d'un réseau d'entreprise moderne, où 95 % du trafic est HTTPS, ses capacités sont insuffisantes. Dans ces cas, MikroTik est utilisé comme passerelle et routeur, tandis que les fonctions de filtrage et d'inspection du trafic sont confiées à des solutions spécialisées.
Si votre tâche est de diriger le trafic de tout le réseau d'entreprise via un proxy externe fiable avec une IP fixe ou un pool d'adresses, envisagez les proxies de centre de données — ils offrent une vitesse élevée et une connexion stable, ce qui est critique lorsqu'ils sont utilisés comme parent proxy pour un bureau entier. Pour les tâches où l'anonymat maximal est important et que le trafic ne doit pas être identifiable, les solutions de proxy résidentiel ou mobile peuvent être plus appropriées.