На Mikrotik организован доступ в сеть Интернет посредством подключения PPPoE через интерфейс ether2. Снаружи доступ RDP к ресурсам ЛВС защищен маппингом портов через DNAT и открытием портов через Port Knocking. Внутри ЛВС есть один сервер 192.168.1.100, доступный по RDP только с адресов ЛВС (ограничен политиками фаервола ОС). Основным шлюзом данного сервера является интрфейс Mikrotik ether1 с адресом 192.168.1.1/24 Не получается настроить подмену адреса источника на внутренний IP-адрес 192.168.1.1 шлюза Mikrotik при доступе к серверу 192.168.1.100 из сети Интернет. Пробовал разные варианты SNAT, Forwarding - пока что не получилось.
Mikrotik CHR последний релиз.
Удаленный доступ внутрь ЛВС с подменной адреса источника
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
А если проще, без порт маппинга и кнокинга???
VPN сервер на микротике с выдачей клиентам IP адресов из локальной сети. И все решено!
Для RDP вполне подойдет sstp, а сертификат (даже самоподписной) поднимает безопасность на порядок.
А порт кнокинг - это какой-то кастыль и дополнительное неудобство по большому счету.
VPN сервер на микротике с выдачей клиентам IP адресов из локальной сети. И все решено!
Для RDP вполне подойдет sstp, а сертификат (даже самоподписной) поднимает безопасность на порядок.
А порт кнокинг - это какой-то кастыль и дополнительное неудобство по большому счету.