Страница 1 из 1
Вход из Интернета на сервер в LAN через VPN
Добавлено: 03 окт 2023, 19:08
AlexWhite
Всем привет)
Есть такая задача:
GW1: на LAN интерфейсе есть RDP-сервер.
Между GW1 и GW2 настроен site-to-site VPN.
При входе из Интернета на GW2 нужно завернуть трафик к RDP-серверу за GW1 через VPN.
Не пойму как с наружного адреса GW2 трафик завернуть в VPN.
Re: Вход из Интернета на сервер в LAN через VPN
Добавлено: 03 окт 2023, 20:58
Illinory
AlexWhite писал(а): ↑03 окт 2023, 19:08
Не пойму как с наружного адреса GW
2 трафик завернуть в VPN.
И на каком этапе проблемы?
Порт RDP пробросили с публичного IP GW2 внутрь сети?
Чтобы с GW2 на GW1 завернуть без проблем, нужно будет еще сделать srcnat правило на GW2 в его локальный интерфейс, например.
Re: Вход из Интернета на сервер в LAN через VPN
Добавлено: 04 окт 2023, 00:57
AlexWhite
Illinory писал(а): ↑03 окт 2023, 20:58
AlexWhite писал(а): ↑03 окт 2023, 19:08
Не пойму как с наружного адреса GW
2 трафик завернуть в VPN.
И на каком этапе проблемы?
Порт RDP пробросили с публичного IP GW2 внутрь сети?
Чтобы с GW2 на GW1 завернуть без проблем, нужно будет еще сделать srcnat правило на GW2 в его локальный интерфейс, например.
Нашел решение
тут , всего 2 правила (без маркировок и netmap)
У меня само собой был настроен VPN-туннель, настроена маршрутизация. Не понимал только как завернуть трафик в VPN, эти 2 правила спасли ситуацию:
Нужно на роутере (сервере с белым IP) добавить два правила:
/ip firewall nat add action=dst-nat chain=dstnat comment=Server1 dst-port=41111 in-interface=WAN protocol=tcp to-addresses=192.168.35.120
/ip firewall nat add chain=srcnat dst-address=192.168.35.0/24 out-interface=l2tp-in1 action=masquerade
Re: Вход из Интернета на сервер в LAN через VPN
Добавлено: 04 окт 2023, 07:37
Illinory
AlexWhite писал(а): ↑04 окт 2023, 00:57
Illinory писал(а): ↑03 окт 2023, 20:58
AlexWhite писал(а): ↑03 окт 2023, 19:08
Не пойму как с наружного адреса GW
2 трафик завернуть в VPN.
И на каком этапе проблемы?
Порт RDP пробросили с публичного IP GW2 внутрь сети?
Чтобы с GW2 на GW1 завернуть без проблем, нужно будет еще сделать srcnat правило на GW2 в его локальный интерфейс, например.
Нашел решение
тут , всего 2 правила (без маркировок и netmap)
У меня само собой был настроен VPN-туннель, настроена маршрутизация. Не понимал только как завернуть трафик в VPN, эти 2 правила спасли ситуацию:
Нужно на роутере (сервере с белым IP) добавить два правила:
/ip firewall nat add action=dst-nat chain=dstnat comment=Server1 dst-port=41111 in-interface=WAN protocol=tcp to-addresses=192.168.35.120
/ip firewall nat add chain=srcnat dst-address=192.168.35.0/24 out-interface=l2tp-in1 action=masquerade
Ну, собственно, первое правило - это и есть проброс порта.
Второе - srcnat.
Про маркировки и netmap вроде никто ничего и не писал.
Re: Вход из Интернета на сервер в LAN через VPN
Добавлено: 04 окт 2023, 12:57
AlexWhite
Про маркировки и netmap вроде никто ничего и не писал.
До этого просто прочитал кучу постов там громоздкие правила с маркировкой и netmap =)