Страница 1 из 3
dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 17 окт 2012, 16:34
Ishimura
Добрый день, прошу простить заранее, я чайник(. Есть 2 микротика RB750G, связанные по VPN. Микротик А- PPTP Server, микротик Б- клиент. Трафик, идущий с 475 порта подключенного к микротику Б ПК, должен идти на 475 порт ПК, подключенного к микротику А. Создал правила для TCP и UDP, выглядящие примерно таким образом (с командной строкой работать не умею, настраиваю через интерфейс).
Микротик Б
General Action
Chain: dstnat Action: dst-nat
Dst. Address 10.10.3.2 ToAdresses: 10.10.3.1
Protocol: UPD ToPorts: 475
Dst. Port: 475
In. Interface: local-master (сюда подключен ПК)
Микротик А
Chain: dstnat Action: dst-nat
Dst. Address 10.10.3.1 ToAdresses: 192.168.1.4
Protocol: UPD ToPorts: 475
Dst. Port: 475
Аналогично настроено для TCP. Сейчас запретов в фильтре не стоит, не могу понять, почему не идет трафик, помогите пожалуйста!
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 17 окт 2012, 17:15
simpl3x
10.10.3.2 - это что за адрес?
посмотрите по цепочке, в мтике есть такая функция как Torch, на каждом интерфейсе каждого мтика, точно ли изначально от ПК-Б пакеты летят по адресу 10.10.3.2?
И собственно суть этих действий? 475 это SMB и AD вроде как.
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 17 окт 2012, 20:29
iSupport
нарисуйте нормальную схему, будем рады помочь, но чтоб помогать надо понять в чем проблема
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 18 окт 2012, 10:50
Ishimura
Прошу прощения, за неточность формулировки, выкладываю схему.
п.с. smb использует 445 порт, 475 используют аппаратные ключи защиты HASP.
Nat на Mikrotik Б
Nat на Mikrotik А
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 18 окт 2012, 11:38
simpl3x
чисто теоретически все настроено верно. по хорошему, на 192.168.2.4 можно было бы запстить Wireshark и посмотреть, прилетает ли ему что нибудь по порту 475. см скрин. если там будут приходить пакеты, то проброс работает и надо искать проблему в обратном ответе. если пакетов нет, то смотреть на 10.10.3.1 утилитой
Torch есть ли пакеты от мтика Б к мтику А.
а вообще, по хорошему, если это у вас какие то два офиса удаленные друг от друга, то настроили бы маршрутизацию между ними. и подняли бы gre тунель между мтиками. и обращался бы 192.168.1.11 непосредственно к 192.168.2.4
п.с. smb использует 445 порт, 475 используют аппаратные ключи защиты HASP.
седина мне в бород, бес в ребро =)
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 18 окт 2012, 16:33
Ishimura
Да, посмотрел WireShark'om нету ничего по 475, все таки трафик не доходит, вы правы. Дописал правила на обратную связь с привязкой к интерфейсам- один фиг не пролетает трафик.
а вообще, по хорошему, если это у вас какие то два офиса удаленные друг от друга, то настроили бы маршрутизацию между ними. и подняли бы gre тунель между мтиками. и обращался бы 192.168.1.11 непосредственно к 192.168.2.4
Можно по подробней? Как это логически будет выглядеть?
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 18 окт 2012, 17:26
simpl3x
если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1
Код: Выделить всё
interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept
мтик2
Код: Выделить всё
interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept
цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 22 окт 2012, 13:32
Ishimura
simpl3x писал(а):если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1
Код: Выделить всё
interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept
мтик2
Код: Выделить всё
interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept
цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.
Спасибо, вечерком попробую. Я так понимаю, код создает тунель, перенаправляющий трафик через новосозданный интерфейс "toOffice1"?
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 30 окт 2012, 16:16
Ishimura
simpl3x писал(а):если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1
Код: Выделить всё
interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept
мтик2
Код: Выделить всё
interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept
цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.
выдает((. Запись "interface gre add" создает EoIP тунель я так понимаю? Без командной строки через интерфейс такое сделать можно?
Re: dst-nat и VPN не пробрасываются порты (помогите чайнику)
Добавлено: 30 окт 2012, 17:46
simpl3x
нене, GRE это отдельный протокол. Но впринципе EoIP тоже подойдёт.