Доступ к "серому" микротику через "белый" микротик, между которыми есть VPN

Обсуждение оборудования и его настройки
Ответить
konstantin.veris
Сообщения: 2
Зарегистрирован: 26 ноя 2019, 14:40

Легенда

Альфа - микротик с публичным IP
Браво1 - микротик с непубличным IP
Браво2 - другой микротик с непубличным IP

Внутренняя сеть на Альфа - 192.168.1.0/24
Адрес Альфа в этой сети - 192.168.1.1

Внутренняя сеть на Браво1 - 192.168.2.0/24
Адрес Браво1 в этой сети - 192.168.2.1

Между Альфа и Браво1 установлено VPN-соединение (L2TP)
У Альфа адрес 10.10.10.1, у Браво1 адрес 10.10.10.2

Хосты из сети Альфа видят хосты внутри сети Браво1 и наоборот.
Все круто!

Пока управление извне микротиком Браво1 иреализовано по такой схеме:
1. Компьютер устанавливает PPTP-соединение c Альфа, получает адрес из сети 192.168.1.0/24.
2. На компьютере запускаем winbox и идем по адресу 192.168.2.1 (адрес Браво1).
Все круто!

НО!
Хотелось бы попадать на Браво1 не используя VPN, а через Альфа. То есть хочется попадать на Браво1, введя в адресной строке Winbox "Публичный адрес Альфа:порт".
Я на Альфа настроил проброс порта, "WAN Альфа":13002 -> 192.168.2.1:8291, но это не заработало.
Притом по логам я вижу, что запрос приходит и на Альфа, и на Браво1.
Последний раз редактировалось konstantin.veris 27 ноя 2019, 06:03, всего редактировалось 1 раз.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

konstantin.veris писал(а): 26 ноя 2019, 15:03 WAN Альфа":13002 -> 192.168.2.1:8291, но это не заработало.
Возможно не правильно настроен проброс порта. Данную схему использую часто (но без ВПН), проброс проходит через 2-3 роутера.
Второй вариант использовать ROMON.

Без конфига гадать можно долго


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вероятнее всего на Браво1 ничего не настроено для того, чтобы ответ на запрос с публичного адреса, но приходящий из туннеля, улетал обратно в тунель. Поэтому он улетает через дефолтный маршрут Браво1.

Простых вариантов решения 2:
1) Добавить на Альфа правило src-nat, которое будет для этих пакетов делать, что они как-будто приходят от самого Альфа. Просто, но не спортивно.
2) Добавить на Браво1 два mangle правила: одно, которое будет помечать входящие соединения с внешних адресов через туннель, и второе, которое ответные пакеты для этих соединений будет роутить куда нужно. Это более правильный вариант.


Telegram: @thexvo
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну похоже тут тот случай когда ВПН настраивался все же прямыми руками и с пониманием вопроса. Без логов и конфига сложновато но давайте попробуем угадать.

Смотрите вы настроили сквозную маршрутизацию между всеми вашими точками.
Тоесть если вы из сети алфа с какова либо ПК отправляете пакет в сеть браво1 на какой либо ПК, то на ПК в src адрес видно что заброс пришел имено с ПК из сети альфа.

Так вот, когда вы настроили проброс то в src стоит внешний адрес с которого вы собствено отправляете пакет. Альфа видит что надо подменить адрес назначения dst и делает это, пакет угодит в сторону браво1 на порт 8291 Браво1 радостно отрабатывает запрос и смотрит куда ему заслать ответ а в поле src адрес стоит ваш внешний с которого вы и отправили изначально запрос и естественно ответ уходит через основной маршрут на браво1 и попадает в сеть оператора ну и т.п. (дальше механизмы НАТ и т.п.) в общем ответ до вас долетает но ПК вашим уже не обрабатывается

поэтому тут 2 варианта
1. Сложный. Это собственно в этом случае отправить ответ туда же откуда он пришел
2. Простой. Подменить адрес источника на адрес который браво1 знает. В вашем случае адрес транспортной сети с альфа. В этом случае ответ уйдет в сторону альфа, дальше согласно таблице НАТ уйдет обратно на ваш ПК и соединение поднимется


Есть интересная задача и бюджет? http://mikrotik.site
konstantin.veris
Сообщения: 2
Зарегистрирован: 26 ноя 2019, 14:40

xvo и vqd - благодарю за помощь!

До ваших подсказок на "Альфа" было вот это правило:

/ip firewall nat
add action=netmap chain=dstnat dst-port=13002 in-interface=Inet \
protocol=tcp to-addresses=192.168.2.1 to-ports=8291

Я добавил вот это:

/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.2.1 dst-port=8291 \
protocol=tcp

И все заработало как по маслу.

Там Браво2 на подходе, на нем поиграюсь с маркировками пакетов.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Проблема в неправильном пробросе порта
Да в инете есть инструкция где описан такой способ, но у него несколько подводных камней, о которых в той статье ни слова. Я наступал с ней на грабли, когда с таким пробросом устройство могло поднять только 3 соединения, а с правильным поднимало сколько нужно 10-15
Функция netmap это преобразование одной подсети в другую 1:1
для проброса порта используйте dst-nat
Ваше правило должно выглядеть так
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=13002 in-interface=Inet \
protocol=tcp to-addresses=192.168.2.1 to-ports=8291


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить