Доступ к регистратору через VPN и напрямую.

Обсуждение ПО и его настройки
Ответить
emeraude
Сообщения: 3
Зарегистрирован: 12 сен 2018, 03:56

12 сен 2018, 06:17

Здравстуйте.
Ситуация такая. Есть головной офис, есть филиал. В филиале расположен видеорегистратор.
Между ним поднят VPN PPTP.
И там, и там есть белый IP.
Задача получить доступ к видеорегистратору и через белый IP филиала, и через проброшенный порт с головного офиса.

Адреса в голове 192.168.0.0/24
Адреса в филиале 192.168.1.0/24
VPN подсеть 172.16.1.1

С головного офиса порт через VPN пробросил таким правилами.
В голове

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=172.16.1.26 protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-address-list="" dst-port=28810 log=no log-prefix=""
В филиале сделал такие правила

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=28800 in-interface=ppp-out1 protocol=tcp to-addresses=192.168.1.64 to-ports=8000
add action=dst-nat chain=dstnat dst-address=172.16.1.26 dst-port=28810 protocol=tcp to-addresses=192.168.1.64 to-ports=8000
Добавил маршрут

Код: Выделить всё

/ip route add distance=1 gateway=172.16.1.1 routing-mark=cameraVPN
Добавил правило

Код: Выделить всё

/ip route rule add disabled=yes src-address=192.168.1.64/32 table=cameraVPN
При таком раскладе всё замечательно работает через порт 28810 в головном офисе, но прекращает работать через проброшенный порт 28800 в самом филиале.
Отключаю правило маркировки, естественно, начинает работать напрямую через филиал и отваливается через головной офис.

Как правильно создать правило маркировки, чтобы работали оба варианта одновременно?

Интуитивно я понимаю, что маркировать надо только те пакеты, которые пришли на регистратор из VPN тоннеля и только их заворачивать обратно в тоннель, а те которые пришли с внешнего интерфейса не маркировать, и они уйдут обратно в WAN (PPP-out1) интерфейс. Но как это сделать что-то не пойму никак...


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

12 сен 2018, 10:22

1. в первом коде.. Где строка "to-port"? Вы же обращение на внешний интерфейс преобразуете в обращение на клиента внутри VPN.. Соответственно, вы должны указать на какой порт внутреннего клиента стучаться..

2. Зачем вообще dst-nat, если можно прописать маршруты?

172.16.1.0/24 pptp dist=0
192.168.1.0/24 172.16.1.26 dist=0

172.16.1.0/24 pptp dist=0
192.168.0.0/24 172.16.1.1 dist=0

А дальше напрямую обращаться к регистратору по его ip.

Маркировки, dst-nat'ы... Для чего это все?


emeraude
Сообщения: 3
Зарегистрирован: 12 сен 2018, 03:56

12 сен 2018, 11:11

Изучаю, тренируюсь.
Понятно, что вариантов реализации данной схемы несколько.
Кто-то маршрутами обходится,кто-то маркировкой трафика.
Вот решил через маркировку сделать, потом попробую тоже самое через голые маршруты.

Но сейчас хочется доделать схему именно используя маркировку, тем более, что что-то мне подсказывает, что в приведенном коде я чуть ли не в одном шаге от решения, буквально одно правило или пара исправлений в существующих.


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

12 сен 2018, 11:24

Не совсем понятно просто для чего маркировка.. Камера не стучится никуда, она лишь принимает новые подключения, а потом с ними работает. Маркировать ей трафик нет смысла, так как она никуда не обращается.
Вам нужен в первую очередь доступ из головного офиса на порт камеры, а камера пойдет по обратному маршруту.
Если уж решать маркировкой, то маркировать нужно трафик из головного в сторону камеры.. Но это не имеет смысла, если есть маршрут.

Мне не понятна логика вашей маркировки.

Говоря иначе, маршрут маркируют тогда, когда есть варианты того, куда можно направить трафик, и один из вариантов нужно сделать приоритетным (единственным разрешенным). В данном случае маршрут один. Вы и так и так по нему трафик будете направлять. Это примерно как если бы вы запрещали выходить из квартиры через любые другие двери, кроме единственной имеющейся.


emeraude
Сообщения: 3
Зарегистрирован: 12 сен 2018, 03:56

13 сен 2018, 03:53

Я, конечно, много чего не понимаю ещё в микротиках, но попытки проложить маршруты из головного офиса к регистратору без маркировки успехом не увенчались, микротик филиала выплёвывает пакеты не обратно в PPTP тоннель а в WAN интерфейс на IP адрес конечного гаджета. Естественно, коннекта нет, т.к. пакет пришёл на гаджет не от головного офиса, а хрен знает от кого (WAN филиала) (с точки зрения гаджета в этот момент). Может и не так делал.

А по поводу маркировки, так это, как я понимаю, такой же инструмент управления трафиком, как и маршруты. И оба варианта имеют право на жизнь.


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

13 сен 2018, 12:26

Ну дак он в WAN выплевывает наверное потому, что в маршрутах указано, что данный диапазон в WAN, а не в pptp?
Роутер додумывать не будет. Он смотрит на наиболее подходящий маршрут с наименьшей дистанцией и по нему отправляет пакеты.
Скиньте сюда настройки маршрутизации.

Тут хоть как маркируй, все равно маршруты будут те же, разве что при маркировке к ним будут добавляться приписки о маркерах.

Маркировка маршрута имеет смысл тогда и только тогда, когда у вас до места назначения есть более одного маршрута, а пакеты нужно пустить именно по определенному. В данном случае у вас один маршрут до места назначения, обходных путей нет.


Ответить