Проброс порта через EoIP (PPTP)

Обсуждение ПО и его настройки
kireyev
Сообщения: 5
Зарегистрирован: 08 дек 2014, 14:30

Добрый день! Помогите решить проблему!!!

Есть центральный офис A с белым IP.
К нему подключаются через PPTP офис B и офис C у которых серые IP.
EoIP настроен A-B и A-C и в офисе A все объединено в Bridge.
Везде единая сеть 192.168.1.0/24.
Все отлично и без проблем работает.

Необходимо с белого IP офиса A пробросить порт 8080 на локальный IP офиса C (192.168.1.37:8080). Пытался сделать так:

Код: Выделить всё

/ip firewall nat add chain=dstnat in-interface=pptp-internet dst-port=8080 action=dst-nat protocol=tcp to-address=192.168.1.37 to-port=80


Вроде какая-то мизерная активность даже в статистике правила есть, но ничего не работает. Пытался также делать двойной проброс через микротик офиса C, но тоже не помогает...

В чем может причина?


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

В фильтре порт 8080 не закрыт случаем?


kireyev
Сообщения: 5
Зарегистрирован: 08 дек 2014, 14:30

Senter писал(а):В фильтре порт 8080 не закрыт случаем?

Нет, ничего кроме блокировки DHCP между микротиками не стоит.


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Абоненты из офиса C в интернет выходят через свой NAT или через офис A? Просто похоже на ситуацию, когда пакет поступает на A, переадресовывается на 192.168.1.37, а уходя с него попадают под NAT маршрутизатора C.


kireyev
Сообщения: 5
Зарегистрирован: 08 дек 2014, 14:30

Senter писал(а):Абоненты из офиса C в интернет выходят через свой NAT или через офис A? Просто похоже на ситуацию, когда пакет поступает на A, переадресовывается на 192.168.1.37, а уходя с него попадают под NAT маршрутизатора C.

Абоненты из C используют свой NAT! Их шлюз - микротик из офиса C! А как быть в таком случае? Прописывать устройству 192.168.1.37 шлюз офиса A?


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Прописывать устройству 192.168.1.37 шлюз офиса A?

Маршрутизировать трафик на от 192.168.1.37 шлюз A и с него уже в интернет выпускать.

Как-то так:

Код: Выделить всё

/ip route 
add dst-address=0.0.0.0/0 gateway=<Шлюз до А> route-mark=to_a
/ip route rule
add src-address=192.168.1.37 dst-address=192.168.1.0/24 table=main action=lookup
add src-address=192.168.1.37 table=to_a action=lookup
add src-address=192.168.1.37 table=main action=drop


kireyev
Сообщения: 5
Зарегистрирован: 08 дек 2014, 14:30

Senter писал(а):
Прописывать устройству 192.168.1.37 шлюз офиса A?

Маршрутизировать трафик на от 192.168.1.37 шлюз A и с него уже в интернет выпускать.

Как-то так:

Код: Выделить всё

/ip route 
add dst-address=0.0.0.0/0 gateway=<Шлюз до А> route-mark=to_a
/ip route rule
add src-address=192.168.1.37 dst-address=192.168.1.0/24 table=main action=lookup
add src-address=192.168.1.37 table=to_a action=lookup
add src-address=192.168.1.37 table=main action=drop


Спасибо. Такой способ работает. Хорошо подходит для однозадачных устройств (например ip-камера). Весь трафик заворачивается на шлюз А. А если необходимо только один сервис завернуть на шлюз А, а все остальное оставить на шлюзе С? Например RDP сервака завернуть на шлюз А? Есть какое-то решение для этой цели?


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Код: Выделить всё

 А если необходимо только один сервис завернуть на шлюз А, а все остальное оставить на шлюзе С? Например RDP сервака завернуть на шлюз А? Есть какое-то решение для этой цели?

Policy Base Routing, суть в том, что в mangle маркируются интересующие соединения(по адресу, порту и другим параметрам) и пересылаются на необходимый адрес(action=new-routing-mark).


agpecam
Сообщения: 8
Зарегистрирован: 08 окт 2014, 20:48

У меня похожая проблема. Также есть микротик с белым ip. К нему по pptp подключен второй микротик с серым lp. Поднят eoip тунель. Сеть 192.168.1.0/24. Все включая рашаренные ресурсы работает. Но продром порта с микротика с внешнего адреса на комп за микротиком с серым адресом правилом netmap не работает. Вроде прочитал что eoip трафик не натится. Может в этом причина?
Аналогичные netmapы в сети белого роутера работают без проблем.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Товарищи, если у вас все нормально настроено то проброс будет работать на L2 и L3 спокойно. Делалось неоднократно. реализуется минут за 15 - 20 с нуля на любом типе тоннеля

Если не работает то разгребайте в первую очередь маршрутизацию и т.п. + делайте диагностику. В микротике есть весь необходимый инструмент что бы все это отследить и понять где затык

Даю наводку. Ответ должен уйти ровно тем путем которым пришел запрос...


Есть интересная задача и бюджет? http://mikrotik.site
Ответить