Доступ к сети за nat провайдера через VPN

Обсуждение ПО и его настройки
Ответить
aleksey.shatalov
Сообщения: 3
Зарегистрирован: 13 дек 2019, 17:18

Доброго времени суток, прошу подсказать в решение нестандартной проблемки.
Имеем роутер микротик с Wan подключенным через lte роутер по воздуху, соответственно выходим в инет за Nat да и провайдер белых айпишников не дает.

Имеем локальную сеть 192.168.33.0/24
Имеем VPS на Ubuntu сервере и поднятым PPTP сервером, клиенты pptp 10.100.100.0

Задача организовать проброс портов с публичного белого ip адреса Ubuntu сервера на микротик к примеру ( ssh или winbox) и далее во внутреннию локалку к примеру (rdp и т.д.)
Микротик как pptp клиент подключается к VPS получает адрес 10.100.100.2, организуем проброс портов через iptables на VPS и все в принципе работает при условии если в настройках PPTP подключения на микротике ставить галочку «add default route» но тогда весь трафик заворачивается на VPS что не желательно(

Если убираем маршрут по умолчанию то микрот не понимает куда ему слать ответы, понимаю что вопрос в маркировке трафика но не совсем понимаю как замаркировать входящий трафик и как завернуть ответы в нужный маршрут(


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

На убунте начните маскарадить трафик подподающий под проброс (ну или вес что уходит в тоннель до микрота), что бы при пробросе убунта подставляла свой тоннельный адрес. Т.е. вам надо что бы убунта маскарадила все что пробросилось и улетает в тоннель до микротика.


aleksey.shatalov
Сообщения: 3
Зарегистрирован: 13 дек 2019, 17:18

Маскарад включен -A POSTROUTING -s 10.100.100.0/24 -o eth0 -j MASQUERADE
eth0 внешний интерфейс убунту с белым IP
Судя по логу пакет на Mikrotik приходит а вот отвечать в какую сторону он не знает.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

И еще раз, начните маскарадить или все, что улетает в тоннель от убунты до микрота силами убунты, или только то что относится к пробросу, но обязательно на стороне убунты в сторону тоннеля, т.е. убунта должна уходящему в тоннель трафику подставлять свой тоннельный адрес.
У вас ничего не работает, потому что внешние клиенты обращаясь к убунте пробрасываются до рдп сервера, но поскольку у пакетов адрес внешних клиентов, то рдп сервер ответы отправляет своему шлюзу, а тот в свою очередь согласно своим маршрутам отправляет все ответы через свой ван порт, а не пихает их обратно в тоннель, а поскольку клиентам отвечает какой-то непонятный хост, они такие пакеты не воспринимают. Поэтому выхода у вас всего два, или на стороне микрота начать метить приходящий из тоннеля трафик, который обращен к рдп и ответы на основе этой метки отправлять туда же в тоннель, что может и более правильно, но громоздко и для вас скорее всего пока сложно, либо просто начать начать со стороны убунты натить все или только что касается рдп и улетает в тоннель, тогда рдп будет думать что к нем обращается убунта а микрот будет отправлять пакеты обратно в тоннель.


aleksey.shatalov
Сообщения: 3
Зарегистрирован: 13 дек 2019, 17:18

Да спасибо за совет так и сделал, все работает. Не могли бы Вы все же подсказать по маркеровке трафика. Может подскажите статейку или есть примеры правил. Именно метить приходящий трафик проблем нет, не получалось завернуть туда же ответный трафик от микрота.


Ответить