dst-nat и VPN не пробрасываются порты (помогите чайнику)

Обсуждение ПО и его настройки
Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

Добрый день, прошу простить заранее, я чайник(. Есть 2 микротика RB750G, связанные по VPN. Микротик А- PPTP Server, микротик Б- клиент. Трафик, идущий с 475 порта подключенного к микротику Б ПК, должен идти на 475 порт ПК, подключенного к микротику А. Создал правила для TCP и UDP, выглядящие примерно таким образом (с командной строкой работать не умею, настраиваю через интерфейс).

Микротик Б

General Action

Chain: dstnat Action: dst-nat
Dst. Address 10.10.3.2 ToAdresses: 10.10.3.1
Protocol: UPD ToPorts: 475
Dst. Port: 475
In. Interface: local-master (сюда подключен ПК)

Микротик А

Chain: dstnat Action: dst-nat
Dst. Address 10.10.3.1 ToAdresses: 192.168.1.4
Protocol: UPD ToPorts: 475
Dst. Port: 475

Аналогично настроено для TCP. Сейчас запретов в фильтре не стоит, не могу понять, почему не идет трафик, помогите пожалуйста!


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

10.10.3.2 - это что за адрес?
посмотрите по цепочке, в мтике есть такая функция как Torch, на каждом интерфейсе каждого мтика, точно ли изначально от ПК-Б пакеты летят по адресу 10.10.3.2?
И собственно суть этих действий? 475 это SMB и AD вроде как.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

нарисуйте нормальную схему, будем рады помочь, но чтоб помогать надо понять в чем проблема


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

Прошу прощения, за неточность формулировки, выкладываю схему.

п.с. smb использует 445 порт, 475 используют аппаратные ключи защиты HASP.

Nat на Mikrotik Б
Изображение
Изображение
Nat на Mikrotik А
Изображение
Изображение
Вложения
СхемаVPN.gif
(23.09 КБ) 154 скачивания


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

чисто теоретически все настроено верно. по хорошему, на 192.168.2.4 можно было бы запстить Wireshark и посмотреть, прилетает ли ему что нибудь по порту 475. см скрин. если там будут приходить пакеты, то проброс работает и надо искать проблему в обратном ответе. если пакетов нет, то смотреть на 10.10.3.1 утилитой Torch есть ли пакеты от мтика Б к мтику А.
wireshark.png
(107.89 КБ) 151 скачивание

а вообще, по хорошему, если это у вас какие то два офиса удаленные друг от друга, то настроили бы маршрутизацию между ними. и подняли бы gre тунель между мтиками. и обращался бы 192.168.1.11 непосредственно к 192.168.2.4

п.с. smb использует 445 порт, 475 используют аппаратные ключи защиты HASP.

седина мне в бород, бес в ребро =)


Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

Да, посмотрел WireShark'om нету ничего по 475, все таки трафик не доходит, вы правы. Дописал правила на обратную связь с привязкой к интерфейсам- один фиг не пролетает трафик.

а вообще, по хорошему, если это у вас какие то два офиса удаленные друг от друга, то настроили бы маршрутизацию между ними. и подняли бы gre тунель между мтиками. и обращался бы 192.168.1.11 непосредственно к 192.168.2.4


Можно по подробней? Как это логически будет выглядеть?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1

Код: Выделить всё

interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept


мтик2

Код: Выделить всё

interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept


цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.


Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

simpl3x писал(а):если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1

Код: Выделить всё

interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept


мтик2

Код: Выделить всё

interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept


цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.


Спасибо, вечерком попробую. Я так понимаю, код создает тунель, перенаправляющий трафик через новосозданный интерфейс "toOffice1"?


Ishimura
Сообщения: 24
Зарегистрирован: 16 фев 2012, 15:37

simpl3x писал(а):если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1

Код: Выделить всё

interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept


мтик2

Код: Выделить всё

interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept


цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.


Код: Выделить всё

bad command name gre (line 1 column 11)
выдает((. Запись "interface gre add" создает EoIP тунель я так понимаю? Без командной строки через интерфейс такое сделать можно?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

нене, GRE это отдельный протокол. Но впринципе EoIP тоже подойдёт.


Ответить