пробросить порт в тоннель

Обсуждение ПО и его настройки
Ответить
Ejik76
Сообщения: 47
Зарегистрирован: 02 авг 2016, 12:47

задача с внешнего интерфейса микротика1 пробросить 8292 tcp, не в сеть за микротиком, а на сам микротик2. через тоннель l2tp

тонель l2tp-home 172.25.210.1 (микротик1) - 172.25.210.10 (микротик2)

сделал так, где ошибся? научите непутевого.

микротик1 (белый статика pppoe-out)
/ip firewall nat
add action=src-nat chain=srcnat dst-address=172.25.210.10 dst-port=8292 protocol=tcp to-addresses=172.25.210.1
add action=netmap chain=dstnat dst-port=8292 in-interface=pppoe-out protocol=tcp to-addresses=172.25.210.10 to-ports=8292

микротик2 (серый динамика)
/ip firewall nat
add action=netmap chain=dstnat dst-port=8292 in-interface=l2tp-home protocol=tcp to-addresses=192.168.5.100 to-ports=8292


Ejik76
Сообщения: 47
Зарегистрирован: 02 авг 2016, 12:47

микротик1 192.168.0.100/24 микротик2 192.168.5.100/25
сети друг друга видят.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Объясните зачем это нужно, если не секрет.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ejik76 писал(а): 12 июл 2019, 17:07 микротик1 192.168.0.100/24 микротик2 192.168.5.100/25
сети друг друга видят.
Может я не узрел всей картины, или подвоха, но если сети объединены,
если микротики видят друг друга зачем такие сложности?

Пишем одно правило проброса, что если ударились в порт хххх на микротике1 с внешки,
то "нырнут" на порт хххх микротика2 (192.168.5.100) и всё.
микротик1 знает где найти микротик2, и пакет перешлёт туда без проблем.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ejik76
Сообщения: 47
Зарегистрирован: 02 авг 2016, 12:47

Vlad-2 писал(а): 12 июл 2019, 19:18
Ejik76 писал(а): 12 июл 2019, 17:07 микротик1 192.168.0.100/24 микротик2 192.168.5.100/25
сети друг друга видят.
Может я не узрел всей картины, или подвоха, но если сети объединены,
если микротики видят друг друга зачем такие сложности?

Пишем одно правило проброса, что если ударились в порт хххх на микротике1 с внешки,
то "нырнут" на порт хххх микротика2 (192.168.5.100) и всё.
микротик1 знает где найти микротик2, и пакет перешлёт туда без проблем.
Я так тоже так подумал.
и сотворил следующее.
add action=netmap chain=dstnat dst-port=8292 in-interface=pppoe-out protocol=tcp to-addresses=\
192.168.5.100 to-ports=8292

и оно не работает. то есть стучишься в микротик1, видно что пакеты по правилу пошли но ожидаемого результата нет. при этом если стучишься с компа за микротиком1 в микротик2 все хорошо.

создал правило фаэрвола и вижу что микротик2 принимает по указанному порту пакеты из тонеля. но видимо с обратным маршрутом какая то проблема.
на сколько я смог понять - пакет приходит на микк1-уходит в тоннель-принимается на мик2- ответный пакет уходит в тоннель - приходит на мик1.. а вот дальше надо как то его отправить на адрес отправителя.




ЗЫ
Разобрался, добавил маскарадинг по порту и адресу 192,168.5.100 на мик1


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Поиск наше всё!
По ссылке и "как" и объяснение почему именно так.
viewtopic.php?f=15&t=6467


Ответить