Russian Users MikroTik | Форум пользователей MikroTik

Добрый день!

Не хватает опыта, чтобы решить такую задачу: есть два роутера в разных офисах с подсетями Х и Y. Роутеры связаны PPTP, всё работает. Роутер Y имеет белый внешний IP. Нужно по запросу IP:порт получить доступ к устройству, подключенному к роутеру Х. Подозреваю, что нужно маркировать трафик через Mangle, но каждый раз запутываюсь в обилии настроек. Пожалуйста, помогите разобраться пошагово.

А в чем сложности? При пробросе указывайте нужные адреса хоть из какой сети, главное что бы у вас между офисами была настроена маршрутизация.

Если в нетмапе указать напрямую адрес из другой подсети X, оно почему-то не работает. Если в том же нетмапе указать адрес родной подсети Y, то работает. Маршрутизация настроена, по VPN всё летает в любом направлении.

MBBD писал(а):Если в нетмапе указать напрямую адрес из другой подсети X, оно почему-то не работает. Если в том же нетмапе указать адрес родной подсети Y, то работает. Маршрутизация настроена, по VPN всё летает в любом направлении.

Пардон, туплю. Только что попробовал, действительно не получается.

Все же просто.

Чего происходит когда срабатывает правило проброса?

(считаем что оба микротика настроены корректно в плане маршрутизации)

1й микротик отправляет соединение в сеть за вторым микротом, устройство для которого оно предназначено получает и отвечает на него и вот тут возникает НО

Если посмотреть на в соединении на адрес источника то там будет указан некий внешний адрес с которого было инициализировано данное соединение и естественно второй микрот (ибо во второй сети именно он шлюзом является) отправляет ответ именно через провайдера который к нему подключен.

Спрашивается чего делать?

есть 2 решения проблемы.

1. Нормальный способ - это сделать так что бы оба микротика отправляли соединения через тот же интерфейс откуда они пришли. В нашем случае их 2. Первый - это сеть оператора, второй - это сеть за первым микротиком. Далее читаем инфу про то как настроить микрот на работу с двумя каналами

2. Считаю его костылем и применяю только во временных схемах ради того что бы тупо быстро добраться. Надо что бы в соединении которое доходит до устройства во второй сети в поле адрес источника был адрес который второй микрот знает. А знает он собственно например адрес транспортной сети и через нее же проходит данное соединение.
Значит втыкаем на первом устройстве snat который как раз нам и заменит адрес источника и ответка свалится на первый микрот и дальше уйдет туда куда нужно

vqd,

а можно второй способ подробнее, с примерами???
Что-то не могу дать ума.

ну рассмотрим такую схему

Сеть 192.168.0.0/24 <-> транспорт 1.1.1.1 <-----PPTP------> 1.1.1.2 <-> сеть 192.168.1.0/24

Предположим что к микротику который в сети 192.168.1.0/24 у нас доступа нет и админ там бестолковый
Задача пробиться до некого сетевого устройства с адресом 192.168.1.10

Соответственно первое чего делаем это пишем маршрут типа
dst-address=192.168.1.0/24 gateway=1.1.1.2

т.к. тот микрот о нашей сети нифига не знает (маршрута то там нет в нашу сторону) то ответы уйдут в сторону оператора скорее всего
Задача сделать так что бы запрос на ПК 192.168.1.10 пришел с адрес 1.1.1.1

Соответственно идем в нат с нашей стороны и создаем правило типа
chain=srcnat dst-address=192.168.1.0/24 action=src-nat to-address=1.1.1.1

Ну и подымаем его повыше.

Собственно все, комп 192.168.1.10 (да и любое другое устройство там) будет думать чт запрос пришел с адреса 1.1.1.1, соответственно когда ответ прилетит на микротик то микротик отправит в нашу сторону, а не в сторону своего провайдера или еще куда. Наш микрот это словит преобразует обратно и отдаст ответ источнику

Повторяю, это МЕГАКОСТЫЛЬ а то сейчас некоторые примут как руководство к действию в криво настроенных тоннель, вместо того что бы настроить нормально маршрутизацию.

Из за этого костыля регулярно славливаю беды )))) Например недавно прикупил GPON коммутатор а там адрес по умолчанию 192.168.1.2
Убил хренову тучу времени на то что бы связаться с данным девайсом, пинги не ходили, ССХ не поднимались и т.п. В результате в кучи правил НАТ увидел данный костыль который подменял адрес на несуществующий в моей сети (хвост остался) Разумеется когда я его грохнул все завелось сразу

Кастыль-то он может быть и кастыль, но


хочу сказать спасибо за урок!!!

Есть у меня одно место, где комп имеет два шлюза и никак разрулить там невозможно. Точнее там навешано кучу мониторинговых сервисов и при добавлении ручного маршрута ломается вся схема автоматических уведомлений, переделать все просто нереально. Поэтому доступ к нему возможен только от имени ближайшего шлюза, но этот шлюз не имеет внешнего IP. Второй шлюз мне не доступен. Внутри все это хорошо работает, но ведь хочется удаленный доступ через RDP без всяких VPN и так далее, чтобы с мобильного можно было смотреть.

Только что попробовал настроить, а ведь работает, блин...

да пожалуйста