Проблема связки проброса портов и VPN Site to site

Обсуждение оборудования и его настройки
Ответить
Astaro
Сообщения: 1
Зарегистрирован: 29 окт 2014, 10:20

1)Добрый день! Имеется две сети 10.10.1.0/24 и 192.168.0/24, обе с микротиками, сети обьеденены ipsec site to site. Проблема в том, что в сети 192.168.0/24 имеется 5 серверов, на одном из них настроен терминал RDP с IP 192.168.1.5, который должен быть доступен из внешнего мира. На микротике есть правило проброса порта на эту машину, все ок. Но вот когда я из сети 10.10.1.0/24 пытаюсь подключиться например к 192.168.1.2 то попадаю на терминал 192.168.1.5, как только я отключаю правило проброса все встает на свои места. Как победить сие? :ne_vi_del:

2) Пытался найти хоть что то по данному ворпросу в интернете. Ничего не нашел, пришлось задавать вопрос тут.


 "Конфиг"
# jan/30/1970 07:28:03 by RouterOS 6.11
# software id = DIWS-30CZ
#
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec policy group
add name=group1
add name=group2
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=null
add enc-algorithms=3des name=Datacentr pfs-group=modp4096
/ip pool
add name=vpnserverusers ranges=172.31.245.2-172.31.254.253
/port
set 0 name=serial0
set 1 name=serial1
/ppp profile
add change-tcp-mss=yes dns-server=192.168.1.200 local-address=172.31.254.1 name=\
vpnserverhome remote-address=vpnserverusers use-encryption=yes
/interface pptp-server server
set default-profile=vpnserverhome enabled=yes max-mru=1460 max-mtu=1460
/ip address
add address=192.168.1.1/24 comment=LAN interface=ether2 network=192.168.1.0
add address= x.x.x.x /24 comment=WAN interface=ether1 network= x.x.x.x
/ip dns
set allow-remote-requests=yes servers=87.249.2.250,87.249.16.250
/ip firewall filter
add action=drop chain=forward dst-port=80,443 out-interface=ether1 protocol=tcp \
src-address=192.168.1.5
add chain=forward content=zaim-bistro.ru src-address=172.31.254.0/24
add chain=forward dst-port=123 out-interface=ether1 protocol=udp
add action=drop chain=forward disabled=yes dst-port=80 protocol=tcp src-address=\
192.168.2.0/24
add chain=input comment="Allow IKE" dst-port=500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
add chain=input dst-port=1723 in-interface=ether1 protocol=tcp
add chain=input protocol=icmp
add chain=input connection-state=established in-interface=ether1
add chain=input connection-state=related in-interface=ether1
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=input comment="Webbox acces" dst-port=8291 protocol=tcp
add chain=input comment="Webbox acces" dst-port=80 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
add action=reject chain=forward content=https dst-port=80 protocol=tcp \
reject-with=tcp-reset src-address=172.31.254.0/24
add action=reject chain=forward content=http dst-port=80 protocol=tcp \
reject-with=tcp-reset src-address=172.31.254.0/24
add action=jump chain=forward connection-state=new jump-target=block-ddos
add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m \
chain=block-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m \
chain=block-ddos
add action=drop chain=input connection-state=invalid
/ip firewall nat
add chain=srcnat dst-address=10.10.1.0/24 out-interface=ether1 src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1
add action=netmap chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp \
to-addresses=192.168.1.5 to-ports=80
add action=netmap chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp \
to-addresses=192.168.1.5 to-ports=3389
/ip ipsec peer
add address= x.x.x.x /32 comment="\C4\EC\E8\F2\F0\EE\E2\EA\E0" nat-traversal=\
yes secret=sys16dbf
/ip ipsec policy
add comment="To Dmitrovka" dst-address=10.10.1.0/24 sa-dst-address= x.x.x.x \
sa-src-address= x.x.x.x src-address=192.168.1.0/24 tunnel=yes
/ip route
add distance=1 gateway=x.x.x.x
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/ip upnp
set allow-disable-external-interface=no
/ppp aaa
set use-radius=yes
/ppp secret
add local-address=192.168.2.1 name=xxx password=xxx remote-address=\
192.168.2.2 service=pptp
add local-address=192.168.2.1 name=micfinsystem password=xxx profile=\
default-encryption remote-address=192.168.2.3 service=pptp
add local-address=192.168.2.1 name=p.foshchan password=xxx profile=\
default-encryption remote-address=192.168.2.4 service=pptp
/radius
add address=192.168.1.200 secret=xxx service=ppp
/system clock manual
set time-zone=+04:00
/system identity
set name="Microcredit Datacentr"
/system ntp client
set enabled=yes mode=unicast primary-ntp=194.190.168.1 secondary-ntp=\
194.190.168.1





4)с FAQ ознакомлен но ответа не нашел


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

)))

Ну все правильно

add action=netmap chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp \
to-addresses=192.168.1.5 to-ports=3389

дсд-адрес укажите и правило будет отлавливать соединения из вне только, а на внутренние распространятся не будет


Есть интересная задача и бюджет? http://mikrotik.site
Ответить