Помогите пожалуйста решить задачу.
Ситуация следующая:
Имеем 3 офиса, в каждом микротик с белым ip.
Микротик 1 - поднят vpn сервер для удаленных пользователей.
VPN сервер выдает определенные ip адреса пользователям. (настроенно в secrets) 27.65.10.50 - 27.65.10.150
В локальной сети Микротика 1 есть Терминальный сервер для пользователей и установлен 1С клиент.
Когда пользователь запускает 1С клиент, тот ищет 1С-Сервер с параметрами (ip: 27.65.0.11 и портам: 1540,1541) и подключается к 1С-Сервер (а).
Тут все ок. Люди работают.
Открылся Офис №3 с микротик 3.
Была задача одним легким правилом подключать 1С клиента на Терминальном сервере 27.65.10.10 к 1С-Серверу (б) с (ip: 27.65.0.11 по портам: 1540,1541)
создал правило на Микротик 3
action=netmap chain=dstnat comment="Проброс на 1С" dst-port=1540,1541 in-interface=WAN protocol=tcp to-addresses=65.65.0.11
Оно включено постоянно.
Затем на Микротик 1 создал правило:
action=netmap chain=dstnat comment="Проброс на Офис 3" dst-port=1540,1541 dst-address=27.65.0.11 protocol=tcp to-addresses=300.300.300.300
Включаю и выключаю это правило и все пользователи работают то на одном то на другом сервере.
Все ок.
Но тут появилась новая задача, над которой потерял сон уже 3 суток.
Нужно тоже самое, но для каждого пользователя отдельно.
Нужны 100 правил, которые можно включить или выключить, в зависимости от этого Пользователь 1 или 2 или 3, запуская 1С клиент на терминальном сервере (27.65.10.10) по запросу (ip: 27.65.0.11 и портам: 1540,1541) подключался бы то к 27.65.0.11 то к 65.65.0.11
Возможно ли такое вообще?
Конечно можно добавить еще один путь на 1С клиенте, и чтобы пользователь выбирал сам в какой базе работать, но это не вариант, Всю операцию нужно проделывать только на микротике.
Ниже блок схема со всеми параметрами
Мучаюсь уже 3 суток
-
- Сообщения: 108
- Зарегистрирован: 19 окт 2018, 13:44
Netmap неправильный метод для перенаправления.
Возможное решение https://wiki.mikrotik.com/wiki/Manual:NTH_in_RouterOS
Возможное решение https://wiki.mikrotik.com/wiki/Manual:NTH_in_RouterOS
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Не совсем понятна задача. Суть в чем? вариант 1 с утра все пользуемся одним сервером после обеда другим. Или вариант 2 пользователи 1-3-5 одним серверов пользователи 2-4-6 другим и сис админ решает кого куда подключить, а пользователь даже не догадывается на каком сервере работает?
Вместо 100 правил нужно писать два - с адрес листами, а вот адрес листы уже содержат 100 записей.
Функция netmap предназначена для маппинга сетей 1 к 1 и случай с одним адресом работает криво. замените netmap на dst-nat
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
Вместо 100 правил нужно писать два - с адрес листами, а вот адрес листы уже содержат 100 записей.
Функция netmap предназначена для маппинга сетей 1 к 1 и случай с одним адресом работает криво. замените netmap на dst-nat
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 3
- Зарегистрирован: 17 мар 2020, 13:23
Спасибо за ответы. По приведенным ссылкам, все равно не понял как мне настроить. Суть такая:
100 пользователей работают в разных уголках страны. Нужно иметь возможность переключить конкретного пользователя на второй сервер, потом вернуть обратно. можете мне написать как должно выглядеть правило в терминале, с учетом моих данных?
100 пользователей работают в разных уголках страны. Нужно иметь возможность переключить конкретного пользователя на второй сервер, потом вернуть обратно. можете мне написать как должно выглядеть правило в терминале, с учетом моих данных?
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Можно попробовать в dst-nat правилах указать в графе src-address-list список тех устройств, которые будут работать с именно этим правилом. Включая и выключая адреса в самих адрес-листах можно управлять доступом. Ну это в теории... Практику вам проводить.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 3
- Зарегистрирован: 17 мар 2020, 13:23
Это я уже пробовал, не работает, видимо адреса выданные vpn сервером не годятся для применения в правилах dst-nat
Спасибо за ответ
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Какие такие адреса, Вы о чем???
Пишите подробно и выкладывайте правила с которыми экспериментируете.
Если VPN туннель в бридже, то возможно, фильтровать нужно уже там.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Нууу, уважаемый. Наш Сабkо прав. Столь скудные ответы без пруфов приведут лишь полному забвению темы. Ну непонятно же ничего ...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...