Перенаправление запросов через VPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
svoroncov
Сообщения: 3
Зарегистрирован: 28 янв 2019, 23:05

Добрый день!
Подскажите как решить данную задачу:

Есть два устройства Микротик, например M1 (внешний 1.1.1.1) и M2(внешний 2.2.2.2.). Находятся в разных офисах.

Между ними создан vpn канал. За микротиком M2 локальная сеть с устройством 192.168.192.10. Внутри vpn устройство с М1 пингуется, маршрут настроен.

Необходимо, чтобы при обращении на адрес 1.1.1.1 через веб 80,443 или rdp 3389 трафик с М1 перенаправлялся на М2 на устройство 192.168.192.10.

Т.е. при открытии в браузере http://1.1.1.1 выводился веб.сервер устройства 192.168.192.10


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

На первом - просто dst-nat правило.

На втором - пара правил mangle:
- первое, помечающее соединения пришедшие из впн;
- второе, помечающее роутинг для обратных пакетов этих соединений.
И маршрут для помеченных обратно в впн.

Если конечно, это не чистый ipsec.


Telegram: @thexvo
Аватара пользователя
Vadim_K
Сообщения: 4
Зарегистрирован: 24 ноя 2020, 17:08
Откуда: Красноярск

Простите, что немного не по основной теме:
xvo писал(а): 23 ноя 2020, 19:40 Если конечно, это не чистый ipsec.
Отправьте, пожалуйста, в тему, где официально описаны проблемы Mikrotik касательно "чистого ipsec". Для меня это сейчас очень актуально. Пока наткнулся только на то, что при чистом ipsec не создаются интерфейсы, в связи с этим появляются сложности с настройками маршрутизации. Вместо объяснений, как её настроить все советуют уйти на ipsec+gre, ipsec+l2tp, ipsec+ipip и т.п. Но неужели Cisco, ZyXEL, D-Link и другие в этом проблем не видят, а Mikrotik не умеет? Не верю!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Vadim_K писал(а): 28 ноя 2020, 17:45 Отправьте, пожалуйста, в тему, где официально описаны проблемы Mikrotik касательно "чистого ipsec". Для меня это сейчас очень актуально. Пока наткнулся только на то, что при чистом ipsec не создаются интерфейсы, в связи с этим появляются сложности с настройками маршрутизации. Вместо объяснений, как её настроить все советуют уйти на ipsec+gre, ipsec+l2tp, ipsec+ipip и т.п. Но неужели Cisco, ZyXEL, D-Link и другие в этом проблем не видят, а Mikrotik не умеет? Не верю!
А при чем тут микротик? Это в общем-то даже и не проблемы, а именно что «особенности» работы ipsec в чистом виде.
У некоторых производителей есть особый режим виртуальных туннелей, который позволяет маршрутизировать ipsec-туннели так же, как любые другие.
У микротика этого пока нет. Поэтому-то, если нужно на туннелях поднимать динамическую маршрутизацию, и советуют использовать те типы туннелей, на которых это можно реализовать.
Если же речь об одном-двух-трех туннелях и небольшом количестве сетей, то выбор между статическими маршрутами и ipsec-политиками, это сугубо личное дело каждого, кому что проще, привычнее и т.д.


Telegram: @thexvo
Ответить