Звоните нам: +375 (29) 5622507, +375 (44) 7669997, +375 (25) 7707103

Добро пожаловать, Гость
Логин: Пароль: Запомнить меня
Расскажите о использовании оборудования MikroTik для строительства сетей передачи данных или домашнего использования в этой ветке форума!
  • Страница:
  • 1
  • 2

ТЕМА: Проброс портов через VPN в удаленную сеть

Проброс портов через VPN в удаленную сеть 3 мес. 2 нед. назад #62

  • movcale
  • movcale аватар
  • Не в сети
  • Новый участник
  • Сообщений: 5
  • Спасибо получено: 1
  • Баллов: 15
  • Репутация: 0
Есть задача:
Нужно обеспечить доступ извне с любого IP адреса к http серверу в локальной сети за VPN

Есть два микротика (А и Б), соединены по L2TP+IpSec.
Сети, к примеру,
А 192.168.88.0/24 + внешний IP 9.9.9.9
и Б 192.168.90.0/24

Статические маршруты между сетями прописаны, внутри локальной сети видимость сетями А и Б есть.
На роутере A сделан проброс 80 порта до компьютера с http сервером в сети за роутером Б ( 192.168.90.2 )

Предположим, я захожу с какого-то внешнего интернет адреса 8.8.8.100 на 9.9.9.9:80
Но до тех пор, пока я явно не пропишу на роутере Б обратный маршрут для конкретно адреса 8.8.8.100 через VPN, а не дефолтный gateway, получаю таймаут.

Нужно как-то маркировать на роутере Б внешние адреса и делать динамические обратные маршруты, но не смог понять, как это сделать. Роутер Б ничего не знает про адрес 8.8.8.100, т.к. запрос пришёл через VPN соединение.
Делать VPN маршрут дефолтным на роутере Б - не вариант.
Маркировать (routing_mark) входящие по VPN пакеты и делать обратный маршрут 0.0.0.0/24 с этой маркировкой - тоже не получилось

Схема точно такая же, как в этой статье
Проброс портов через интернет-канал VPN-сервера в удаленную локальную сеть за VPN-клиентом

В конце статьи даже написано про мою проблему:
Чтобы этого избежать, не выполняя назначение маршрута по умолчанию через туннель к серверу, можно настроить статическую маршрутизацию, если известны IP-адреса хостов, с которых происходят обращения в сеть клиента, для них нужно создать маршруты через интерфейс туннеля PPTP.
Тема заблокирована.
Спасибо сказали: karda

Проброс портов через VPN в удаленную сеть 3 мес. 2 нед. назад #63

  • karda
  • karda аватар
  • Не в сети
  • Администратор
  • Сообщений: 17
  • Спасибо получено: 5
  • Баллов: 85
  • Репутация: 1
По моему надо два проброса порта: Один через L2TP+IPSec туннель, второй через входящий интерфейс. Если не поможет можно ещё scr-nat/masquarade сделать к web-серверу
Простые решения - основа деятельности!
Последнее редактирование: 3 мес. 2 нед. назад от karda.
Тема заблокирована.
Спасибо сказали: movcale

Проброс портов через VPN в удаленную сеть 3 мес. 2 нед. назад #64

  • movcale
  • movcale аватар
  • Не в сети
  • Новый участник
  • Сообщений: 5
  • Спасибо получено: 1
  • Баллов: 15
  • Репутация: 0
Не совсем понял, что значит "два проброса порта" через два интерфейса.
НО masquarade действительно помог!

Я сделал на роутере А
/ip firewall nat add chain=srcnat dst-address=192.168.90.0/24 out-interface=<l2tp-vpn> action=masquerade

И доступ извне заработал!

Большое спасибо за помощь, боролся с этой задачей очень долго.
Тема заблокирована.

Проброс портов через VPN в удаленную сеть 3 мес. 2 нед. назад #65

  • karda
  • karda аватар
  • Не в сети
  • Администратор
  • Сообщений: 17
  • Спасибо получено: 5
  • Баллов: 85
  • Репутация: 1
Вам лучше <l2tp-vpn> или забиндить или убрать вообще...
Простые решения - основа деятельности!
Тема заблокирована.

Проброс портов через VPN в удаленную сеть 3 мес. 2 нед. назад #66

  • movcale
  • movcale аватар
  • Не в сети
  • Новый участник
  • Сообщений: 5
  • Спасибо получено: 1
  • Баллов: 15
  • Репутация: 0
Т.е если туннель разорвётся по какой-либо причине, то при следующем коннекте в правило маскарадинга значение <l2tp-vpn> уже не подставится и работать не будет?

Убрал <l2tp-vpn>, тоже работатет.

Забиндить - это имеется ввиду написать в маскарадинге IP адрес <l2tp-vpn> туннеля 192.168.112.9 ?
у меня это адреса А 192.168.112.9 и Б 192.168.112.10
Но в правило маскарадинга нельзя задать IP адрес, можно выбрать только интерфейс из списка (ether1, l2tp-vpn и т.д.)
Последнее редактирование: 3 мес. 2 нед. назад от movcale.
Тема заблокирована.

Проброс портов через VPN в удаленную сеть 3 мес. 2 нед. назад #67

  • karda
  • karda аватар
  • Не в сети
  • Администратор
  • Сообщений: 17
  • Спасибо получено: 5
  • Баллов: 85
  • Репутация: 1
Создать для входящего интерфейса привязку:

Простые решения - основа деятельности!
Тема заблокирована.
  • Страница:
  • 1
  • 2

Авторизация