VPN и проброс портов
-
pavelbag
- Сообщения: 10
- Зарегистрирован: 14 янв 2013, 03:48
Добрый день! Приобрели недавно MikroTik, настроили на нем VPN-сервер, подключили провайдера, пробросили порты до локальных ресурсов, локальные клиенты ходят в интернет через VPN, все отлично. Удаленных клиентов тоже подключаем через VPN и хочется для них по внутреннему адресу VPN (local address 10.2.0.1, remote addreess у каждого свой) открыть определенные локальные ресурсы в сети. Делаем правило в NAT как для проброса порта, когда делаем запрос на 10.2.0.1 вижу что запрос идет, но ответа нет. Что делаем не так?
-
iSupport
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
Нарисуйте схему и распишите подробнее все ип адреса.
Скорее всего либо не роутите что-то, либо зря маскарадите
Скорее всего либо не роутите что-то, либо зря маскарадите
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
pavelbag
- Сообщения: 10
- Зарегистрирован: 14 янв 2013, 03:48
Разобрался, надо было сделать правило в NAT -
;;; Allow local network for vpn-2
chain=srcnat action=masquerade src-address-list=vpn-2 out-interface=bridge-local
После него вот такой проброс порта -
chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=80 protocol=tcp dst-address=10.2.0.1 dst-port=80
работает корректно
;;; Allow local network for vpn-2
chain=srcnat action=masquerade src-address-list=vpn-2 out-interface=bridge-local
После него вот такой проброс порта -
chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=80 protocol=tcp dst-address=10.2.0.1 dst-port=80
работает корректно
-
pavelbag
- Сообщения: 10
- Зарегистрирован: 14 янв 2013, 03:48
Появился другой вопрос, можно ли в CALLER-ID в настройках /ppp secret прописать маску, например "192.168.1.0/24", чтобы к VPN определенные клиенты могли подключаться только из локальной сети? Или как это сделать другим способом?