Добрый день!
Не хватает опыта, чтобы решить такую задачу: есть два роутера в разных офисах с подсетями Х и Y. Роутеры связаны PPTP, всё работает. Роутер Y имеет белый внешний IP. Нужно по запросу IP:порт получить доступ к устройству, подключенному к роутеру Х. Подозреваю, что нужно маркировать трафик через Mangle, но каждый раз запутываюсь в обилии настроек. Пожалуйста, помогите разобраться пошагово.
Проброс порта в другую подсеть
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
А в чем сложности? При пробросе указывайте нужные адреса хоть из какой сети, главное что бы у вас между офисами была настроена маршрутизация.
-
MBBD
- Сообщения: 0
- Зарегистрирован: 25 ноя 2015, 11:34
Если в нетмапе указать напрямую адрес из другой подсети X, оно почему-то не работает. Если в том же нетмапе указать адрес родной подсети Y, то работает. Маршрутизация настроена, по VPN всё летает в любом направлении.
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
MBBD писал(а):Если в нетмапе указать напрямую адрес из другой подсети X, оно почему-то не работает. Если в том же нетмапе указать адрес родной подсети Y, то работает. Маршрутизация настроена, по VPN всё летает в любом направлении.
Пардон, туплю. Только что попробовал, действительно не получается.
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Все же просто.
Чего происходит когда срабатывает правило проброса?
(считаем что оба микротика настроены корректно в плане маршрутизации)
1й микротик отправляет соединение в сеть за вторым микротом, устройство для которого оно предназначено получает и отвечает на него и вот тут возникает НО
Если посмотреть на в соединении на адрес источника то там будет указан некий внешний адрес с которого было инициализировано данное соединение и естественно второй микрот (ибо во второй сети именно он шлюзом является) отправляет ответ именно через провайдера который к нему подключен.
Спрашивается чего делать?
есть 2 решения проблемы.
1. Нормальный способ - это сделать так что бы оба микротика отправляли соединения через тот же интерфейс откуда они пришли. В нашем случае их 2. Первый - это сеть оператора, второй - это сеть за первым микротиком. Далее читаем инфу про то как настроить микрот на работу с двумя каналами
2. Считаю его костылем и применяю только во временных схемах ради того что бы тупо быстро добраться. Надо что бы в соединении которое доходит до устройства во второй сети в поле адрес источника был адрес который второй микрот знает. А знает он собственно например адрес транспортной сети и через нее же проходит данное соединение.
Значит втыкаем на первом устройстве snat который как раз нам и заменит адрес источника и ответка свалится на первый микрот и дальше уйдет туда куда нужно
Чего происходит когда срабатывает правило проброса?
(считаем что оба микротика настроены корректно в плане маршрутизации)
1й микротик отправляет соединение в сеть за вторым микротом, устройство для которого оно предназначено получает и отвечает на него и вот тут возникает НО
Если посмотреть на в соединении на адрес источника то там будет указан некий внешний адрес с которого было инициализировано данное соединение и естественно второй микрот (ибо во второй сети именно он шлюзом является) отправляет ответ именно через провайдера который к нему подключен.
Спрашивается чего делать?
есть 2 решения проблемы.
1. Нормальный способ - это сделать так что бы оба микротика отправляли соединения через тот же интерфейс откуда они пришли. В нашем случае их 2. Первый - это сеть оператора, второй - это сеть за первым микротиком. Далее читаем инфу про то как настроить микрот на работу с двумя каналами
2. Считаю его костылем и применяю только во временных схемах ради того что бы тупо быстро добраться. Надо что бы в соединении которое доходит до устройства во второй сети в поле адрес источника был адрес который второй микрот знает. А знает он собственно например адрес транспортной сети и через нее же проходит данное соединение.
Значит втыкаем на первом устройстве snat который как раз нам и заменит адрес источника и ответка свалится на первый микрот и дальше уйдет туда куда нужно
Есть интересная задача и бюджет? http://mikrotik.site
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
vqd,
а можно второй способ подробнее, с примерами???
Что-то не могу дать ума.
а можно второй способ подробнее, с примерами???
Что-то не могу дать ума.
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну рассмотрим такую схему
Сеть 192.168.0.0/24 <-> транспорт 1.1.1.1 <-----PPTP------> 1.1.1.2 <-> сеть 192.168.1.0/24
Предположим что к микротику который в сети 192.168.1.0/24 у нас доступа нет и админ там бестолковый
Задача пробиться до некого сетевого устройства с адресом 192.168.1.10
Соответственно первое чего делаем это пишем маршрут типа
dst-address=192.168.1.0/24 gateway=1.1.1.2
т.к. тот микрот о нашей сети нифига не знает (маршрута то там нет в нашу сторону) то ответы уйдут в сторону оператора скорее всего
Задача сделать так что бы запрос на ПК 192.168.1.10 пришел с адрес 1.1.1.1
Соответственно идем в нат с нашей стороны и создаем правило типа
chain=srcnat dst-address=192.168.1.0/24 action=src-nat to-address=1.1.1.1
Ну и подымаем его повыше.
Собственно все, комп 192.168.1.10 (да и любое другое устройство там) будет думать чт запрос пришел с адреса 1.1.1.1, соответственно когда ответ прилетит на микротик то микротик отправит в нашу сторону, а не в сторону своего провайдера или еще куда. Наш микрот это словит преобразует обратно и отдаст ответ источнику
Повторяю, это МЕГАКОСТЫЛЬ а то сейчас некоторые примут как руководство к действию в криво настроенных тоннель, вместо того что бы настроить нормально маршрутизацию.
Сеть 192.168.0.0/24 <-> транспорт 1.1.1.1 <-----PPTP------> 1.1.1.2 <-> сеть 192.168.1.0/24
Предположим что к микротику который в сети 192.168.1.0/24 у нас доступа нет и админ там бестолковый
Задача пробиться до некого сетевого устройства с адресом 192.168.1.10
Соответственно первое чего делаем это пишем маршрут типа
dst-address=192.168.1.0/24 gateway=1.1.1.2
т.к. тот микрот о нашей сети нифига не знает (маршрута то там нет в нашу сторону) то ответы уйдут в сторону оператора скорее всего
Задача сделать так что бы запрос на ПК 192.168.1.10 пришел с адрес 1.1.1.1
Соответственно идем в нат с нашей стороны и создаем правило типа
chain=srcnat dst-address=192.168.1.0/24 action=src-nat to-address=1.1.1.1
Ну и подымаем его повыше.
Собственно все, комп 192.168.1.10 (да и любое другое устройство там) будет думать чт запрос пришел с адреса 1.1.1.1, соответственно когда ответ прилетит на микротик то микротик отправит в нашу сторону, а не в сторону своего провайдера или еще куда. Наш микрот это словит преобразует обратно и отдаст ответ источнику
Повторяю, это МЕГАКОСТЫЛЬ а то сейчас некоторые примут как руководство к действию в криво настроенных тоннель, вместо того что бы настроить нормально маршрутизацию.
Есть интересная задача и бюджет? http://mikrotik.site
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Из за этого костыля регулярно славливаю беды )))) Например недавно прикупил GPON коммутатор а там адрес по умолчанию 192.168.1.2
Убил хренову тучу времени на то что бы связаться с данным девайсом, пинги не ходили, ССХ не поднимались и т.п. В результате в кучи правил НАТ увидел данный костыль который подменял адрес на несуществующий в моей сети (хвост остался) Разумеется когда я его грохнул все завелось сразу
Убил хренову тучу времени на то что бы связаться с данным девайсом, пинги не ходили, ССХ не поднимались и т.п. В результате в кучи правил НАТ увидел данный костыль который подменял адрес на несуществующий в моей сети (хвост остался) Разумеется когда я его грохнул все завелось сразу
Есть интересная задача и бюджет? http://mikrotik.site
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Кастыль-то он может быть и кастыль, но
хочу сказать спасибо за урок!!!
Есть у меня одно место, где комп имеет два шлюза и никак разрулить там невозможно. Точнее там навешано кучу мониторинговых сервисов и при добавлении ручного маршрута ломается вся схема автоматических уведомлений, переделать все просто нереально. Поэтому доступ к нему возможен только от имени ближайшего шлюза, но этот шлюз не имеет внешнего IP. Второй шлюз мне не доступен. Внутри все это хорошо работает, но ведь хочется удаленный доступ через RDP без всяких VPN и так далее, чтобы с мобильного можно было смотреть.
Только что попробовал настроить, а ведь работает, блин...
хочу сказать спасибо за урок!!!
Есть у меня одно место, где комп имеет два шлюза и никак разрулить там невозможно. Точнее там навешано кучу мониторинговых сервисов и при добавлении ручного маршрута ломается вся схема автоматических уведомлений, переделать все просто нереально. Поэтому доступ к нему возможен только от имени ближайшего шлюза, но этот шлюз не имеет внешнего IP. Второй шлюз мне не доступен. Внутри все это хорошо работает, но ведь хочется удаленный доступ через RDP без всяких VPN и так далее, чтобы с мобильного можно было смотреть.
Только что попробовал настроить, а ведь работает, блин...
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
