Легенда
Альфа - микротик с публичным IP
Браво1 - микротик с непубличным IP
Браво2 - другой микротик с непубличным IP
Внутренняя сеть на Альфа - 192.168.1.0/24
Адрес Альфа в этой сети - 192.168.1.1
Внутренняя сеть на Браво1 - 192.168.2.0/24
Адрес Браво1 в этой сети - 192.168.2.1
Между Альфа и Браво1 установлено VPN-соединение (L2TP)
У Альфа адрес 10.10.10.1, у Браво1 адрес 10.10.10.2
Хосты из сети Альфа видят хосты внутри сети Браво1 и наоборот.
Все круто!
Пока управление извне микротиком Браво1 иреализовано по такой схеме:
1. Компьютер устанавливает PPTP-соединение c Альфа, получает адрес из сети 192.168.1.0/24.
2. На компьютере запускаем winbox и идем по адресу 192.168.2.1 (адрес Браво1).
Все круто!
НО!
Хотелось бы попадать на Браво1 не используя VPN, а через Альфа. То есть хочется попадать на Браво1, введя в адресной строке Winbox "Публичный адрес Альфа:порт".
Я на Альфа настроил проброс порта, "WAN Альфа":13002 -> 192.168.2.1:8291, но это не заработало.
Притом по логам я вижу, что запрос приходит и на Альфа, и на Браво1.
Доступ к "серому" микротику через "белый" микротик, между которыми есть VPN
-
konstantin.veris
- Сообщения: 2
- Зарегистрирован: 26 ноя 2019, 14:40
-
Ca6ko
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Возможно не правильно настроен проброс порта. Данную схему использую часто (но без ВПН), проброс проходит через 2-3 роутера.konstantin.veris писал(а): ↑26 ноя 2019, 15:03 WAN Альфа":13002 -> 192.168.2.1:8291, но это не заработало.
Второй вариант использовать ROMON.
Без конфига гадать можно долго
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вероятнее всего на Браво1 ничего не настроено для того, чтобы ответ на запрос с публичного адреса, но приходящий из туннеля, улетал обратно в тунель. Поэтому он улетает через дефолтный маршрут Браво1.
Простых вариантов решения 2:
1) Добавить на Альфа правило src-nat, которое будет для этих пакетов делать, что они как-будто приходят от самого Альфа. Просто, но не спортивно.
2) Добавить на Браво1 два mangle правила: одно, которое будет помечать входящие соединения с внешних адресов через туннель, и второе, которое ответные пакеты для этих соединений будет роутить куда нужно. Это более правильный вариант.
Простых вариантов решения 2:
1) Добавить на Альфа правило src-nat, которое будет для этих пакетов делать, что они как-будто приходят от самого Альфа. Просто, но не спортивно.
2) Добавить на Браво1 два mangle правила: одно, которое будет помечать входящие соединения с внешних адресов через туннель, и второе, которое ответные пакеты для этих соединений будет роутить куда нужно. Это более правильный вариант.
Telegram: @thexvo
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну похоже тут тот случай когда ВПН настраивался все же прямыми руками и с пониманием вопроса. Без логов и конфига сложновато но давайте попробуем угадать.
Смотрите вы настроили сквозную маршрутизацию между всеми вашими точками.
Тоесть если вы из сети алфа с какова либо ПК отправляете пакет в сеть браво1 на какой либо ПК, то на ПК в src адрес видно что заброс пришел имено с ПК из сети альфа.
Так вот, когда вы настроили проброс то в src стоит внешний адрес с которого вы собствено отправляете пакет. Альфа видит что надо подменить адрес назначения dst и делает это, пакет угодит в сторону браво1 на порт 8291 Браво1 радостно отрабатывает запрос и смотрит куда ему заслать ответ а в поле src адрес стоит ваш внешний с которого вы и отправили изначально запрос и естественно ответ уходит через основной маршрут на браво1 и попадает в сеть оператора ну и т.п. (дальше механизмы НАТ и т.п.) в общем ответ до вас долетает но ПК вашим уже не обрабатывается
поэтому тут 2 варианта
1. Сложный. Это собственно в этом случае отправить ответ туда же откуда он пришел
2. Простой. Подменить адрес источника на адрес который браво1 знает. В вашем случае адрес транспортной сети с альфа. В этом случае ответ уйдет в сторону альфа, дальше согласно таблице НАТ уйдет обратно на ваш ПК и соединение поднимется
Смотрите вы настроили сквозную маршрутизацию между всеми вашими точками.
Тоесть если вы из сети алфа с какова либо ПК отправляете пакет в сеть браво1 на какой либо ПК, то на ПК в src адрес видно что заброс пришел имено с ПК из сети альфа.
Так вот, когда вы настроили проброс то в src стоит внешний адрес с которого вы собствено отправляете пакет. Альфа видит что надо подменить адрес назначения dst и делает это, пакет угодит в сторону браво1 на порт 8291 Браво1 радостно отрабатывает запрос и смотрит куда ему заслать ответ а в поле src адрес стоит ваш внешний с которого вы и отправили изначально запрос и естественно ответ уходит через основной маршрут на браво1 и попадает в сеть оператора ну и т.п. (дальше механизмы НАТ и т.п.) в общем ответ до вас долетает но ПК вашим уже не обрабатывается
поэтому тут 2 варианта
1. Сложный. Это собственно в этом случае отправить ответ туда же откуда он пришел
2. Простой. Подменить адрес источника на адрес который браво1 знает. В вашем случае адрес транспортной сети с альфа. В этом случае ответ уйдет в сторону альфа, дальше согласно таблице НАТ уйдет обратно на ваш ПК и соединение поднимется
Есть интересная задача и бюджет? http://mikrotik.site
-
konstantin.veris
- Сообщения: 2
- Зарегистрирован: 26 ноя 2019, 14:40
xvo и vqd - благодарю за помощь!
До ваших подсказок на "Альфа" было вот это правило:
/ip firewall nat
add action=netmap chain=dstnat dst-port=13002 in-interface=Inet \
protocol=tcp to-addresses=192.168.2.1 to-ports=8291
Я добавил вот это:
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.2.1 dst-port=8291 \
protocol=tcp
И все заработало как по маслу.
Там Браво2 на подходе, на нем поиграюсь с маркировками пакетов.
До ваших подсказок на "Альфа" было вот это правило:
/ip firewall nat
add action=netmap chain=dstnat dst-port=13002 in-interface=Inet \
protocol=tcp to-addresses=192.168.2.1 to-ports=8291
Я добавил вот это:
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.2.1 dst-port=8291 \
protocol=tcp
И все заработало как по маслу.
Там Браво2 на подходе, на нем поиграюсь с маркировками пакетов.
-
Ca6ko
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Проблема в неправильном пробросе порта
Да в инете есть инструкция где описан такой способ, но у него несколько подводных камней, о которых в той статье ни слова. Я наступал с ней на грабли, когда с таким пробросом устройство могло поднять только 3 соединения, а с правильным поднимало сколько нужно 10-15
Функция netmap это преобразование одной подсети в другую 1:1
для проброса порта используйте dst-nat
Ваше правило должно выглядеть так
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=13002 in-interface=Inet \
protocol=tcp to-addresses=192.168.2.1 to-ports=8291
Да в инете есть инструкция где описан такой способ, но у него несколько подводных камней, о которых в той статье ни слова. Я наступал с ней на грабли, когда с таким пробросом устройство могло поднять только 3 соединения, а с правильным поднимало сколько нужно 10-15
Функция netmap это преобразование одной подсети в другую 1:1
для проброса порта используйте dst-nat
Ваше правило должно выглядеть так
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=13002 in-interface=Inet \
protocol=tcp to-addresses=192.168.2.1 to-ports=8291
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.