Страница 1 из 2
Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 11:34
Alex2019
Добрый день, уважаемые форумчане! Возник такой вопрос:
Филиал (192.168.2.0/24) подключен через VPN с головным офисом (192.168.0.0/24). Он, в свою очередь, по VPN к другой подсети, в которой крутится почтовый сервер (192.168.1.1). Филиал напрямую не конектится к этому серверу. На Микротике сделал IP 192.168.0.3 и создал правило NAT с перенаправлением трафика на почтовый сервер, как вычитал на форуме:
Код: Выделить всё
/ip firewall nat
add chain=dstnat dst-address=192.168.0.3 protocol=tcp dst-port=25 action=dst-nat to-addresses=192.168.1.1 to-ports=25
add chain=dstnat dst-address=192.168.0.3 protocol=tcp dst-port=110 action=dst-nat to-addresses=192.168.1.1 to-ports=110
Пробовал без In.Interface и разные варианты его, но The Bat при отправке пишет или "!04.02.2020, 10:13:17: SEND - Невозможно соединиться с сервером. Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение", или "!04.02.2020, 10:14:01: SEND - Невозможно соединиться с сервером. Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера".
Подскажите, пожалуйста, что делаю не так. Для визуального представления, прикрепляю фото, как схематично выглядит подключение.
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 11:47
Erik_U
Alex2019 писал(а): ↑04 фев 2020, 11:34
Филиал напрямую не конектится к этому серверу.
Почему?
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 12:07
Alex2019
Erik_U писал(а): ↑04 фев 2020, 11:47
Alex2019 писал(а): ↑04 фев 2020, 11:34
Филиал напрямую не конектится к этому серверу.
Почему?
Очень интересный вопрос!) Если в филиале указать маршрут на 192.168.1.1, то Gateway должен быть 192.168.0.1 для доступа. Но нельзя указать его из другой подсети
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 12:18
Alex2019
У меня как-то всё криворуко настроено. Филиалов куча. И каждый из них только с главным конектится. А между собой почему-то нет
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 12:23
Erik_U
Так проблема не в нате, а в маршрутизации.
Рисуйте схему с подсетями.
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 12:46
Alex2019
Erik_U писал(а): ↑04 фев 2020, 12:23
Так проблема не в нате, а в маршрутизации.
Рисуйте схему с подсетями.
Примерно так, накидал на скорую руку
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 13:03
Erik_U
Вопросы по схеме.
1. Кто ВПН сервер? Какая технология?
2. У модемов 1.1.1.х = это IP? У вас в каждом офисе белый IP?
3. В офисах только модемы? Микротиков нет?
4. Теперь вижу 2 картинки, и они разные. Какая правильная?
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 13:11
Erik_U
Чтобы работало, нужно на оборудовании в каждом офисе добавить маршруты до всех сетей во всех других офисах.
Тогда заработает.
По вашей схеме мало что понятно.
Поэтому подробностей нет.
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 13:15
Alex2019
Erik_U писал(а): ↑04 фев 2020, 13:03
Вопросы по схеме.
1. Кто ВПН сервер?
2. У модемов 1.1.1.х = это IP? У вас в каждом офисе белый IP?
3. В офисах только модемы? Микротиков нет?
1. VPN на офисы у нас от Белтелекома (Белорусский аналог Ростелекома). А с подсетью, где почтовый сервер, через l2tp микротики соединены.
2. Да, это белые IP. CE и PE выданные интернет-провайдером, предоставляющим VPN. У каждого свой.
3. На данный момент везде модемы. В далёком будущем планируем поставить Микротики.
4. На первой я образно суть вопроса описал. На второй уже всё подробно и точно нарисовано
Re: Перенаправление трафика на почтовый сервер в другой подсети
Добавлено: 04 фев 2020, 13:30
Erik_U
Если модемы позволяют вести на них статические маршруты, то
1. В каждом офисе на модеме добавьте маршруты до каждой сети 192.168.х.х. (на схеме их 9), указав в качестве шлюза 1.1.1.1. На компьютерах в каждом офисе шлюзом по умолчанию должен быть IP адрес модема из сети 192.169.х.х этого офиса (в каждом свой). Тогда все офисы увидят друг друга. Если нужна только почта - можно добавить маршрут только до сети 192.168.10.0.
2.На микротике 192.168.0.1 маршруты до сетей каждого офиса с указанием в качестве шлюза имени интерфейса, к которому подключен модем 1.1.1.1, и до сети 192.168.10.0 с указанием в качестве шлюза интерфейс в сторону микротика 192.168.0.2
3. На микротике 192.168.0.2 маршруты до каждой сети офисов с указанием в качестве шлюза имени интерфейса, смотрящего на микротик 192.168.0.1 и до сети 192.168.10.0 с указаниепм в качестве шлюза имени интерфейса, к которому не нарисовано что подключено, скорее всего нужно создать интерфейс L2TP_srever_binding для статического отображения L2TP подключения (В ПРОФИЛЕ ЭТОГО СОЕДИНЕНИЯ ПОСТАВЬТЕ ГАЛОЧКУ НА ONLY ONE, ЧТОБЫ ПРИ ПЕРЕКЛЮЧЕНИИ НОВЫЙ ИНТЕРФЕЙС НЕ СОЗДАВАЛСЯ). Этот интерфейс и указать.
4. Кто в сети 192.168.10.0 выполняет роль шлюза не нарисовано. Он же выступает клиентом L2TP. На нем нужны маршруты до сетей каждого офиса с указанием шлюза 1.1.1.10