Всем доброго времени суток.
Проблема следующая, на timeweb поднят VPS, Микрот CHR, выполняет роль VPN сервера и белого IP, также дома собран веб-сервер на базе Nginx, вроде бы все отлично работает, НО суть в том что не приходит реальный IP, а приходит адрес именно полученный от VPN, хотелось бы узнать кто сталкивался с подобным и как решить данную проблему...
Микротик подмена IP на входящие соединения
-
gmx
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
А почему тему-то в курилке создали? Вроде же есть более простые варианты...
В целом все очень просто. Отключите нат на входящие пакеты от vps сервера. Если быть точнее, то в правиле нат на вашем домашнем микротике укажите в out interface - ваш ван интерфейс (ether или pppoe). В этом случае, маскарадится будут только исходящие пакеты в сторону провайдера. И все заработает так, как вы и хотите.
В целом все очень просто. Отключите нат на входящие пакеты от vps сервера. Если быть точнее, то в правиле нат на вашем домашнем микротике укажите в out interface - ваш ван интерфейс (ether или pppoe). В этом случае, маскарадится будут только исходящие пакеты в сторону провайдера. И все заработает так, как вы и хотите.
-
valeriy.repin
- Сообщения: 3
- Зарегистрирован: 01 ноя 2023, 06:27
Извиняюсь что не там тему создал.
Я не правильно описал суть проблемы, попробую подробней...
Есть VPS, на ней Микрот CHR (выполняет роль резервного белого IP и VPN сервера), дома стоит сервер, на нем Hyper-V, там пару виртуалок (Voip и Web сервера) подключаются к микроту все через XL2TPD. В НАТ включен маскарадинг на web сервер и соответственно dst-nat на порты 80,443 этого сервера, трафик туда сюда ходит, с этим проблем нет, проблема в том что мне на Web приходит IP L2TP соединения, т.е. не реальный IP пользователя а именно 10.20.0.10.
В PPP->Secrets address-remote 10.10.0.10, address-local 10.20.0.10 прописаны вручную.
Также есть маскарадинг на динамические VPN (которые не забиндины L2TP Server), там сидит сеть с сервером такси, дополнительно OSPF настроен для них, но их правила все отключал, результата не дало.
Как бы работать и так будет, но хотелось бы в логах NGINX видеть реальный IP, а не 10.20.0.10
Я не правильно описал суть проблемы, попробую подробней...
Есть VPS, на ней Микрот CHR (выполняет роль резервного белого IP и VPN сервера), дома стоит сервер, на нем Hyper-V, там пару виртуалок (Voip и Web сервера) подключаются к микроту все через XL2TPD. В НАТ включен маскарадинг на web сервер и соответственно dst-nat на порты 80,443 этого сервера, трафик туда сюда ходит, с этим проблем нет, проблема в том что мне на Web приходит IP L2TP соединения, т.е. не реальный IP пользователя а именно 10.20.0.10.
В PPP->Secrets address-remote 10.10.0.10, address-local 10.20.0.10 прописаны вручную.
Также есть маскарадинг на динамические VPN (которые не забиндины L2TP Server), там сидит сеть с сервером такси, дополнительно OSPF настроен для них, но их правила все отключал, результата не дало.
Как бы работать и так будет, но хотелось бы в логах NGINX видеть реальный IP, а не 10.20.0.10
-
gmx
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Ого-го....
То есть со всем этими вещами справились, с нат нет???
Ещё раз, настройте нат (даже если из несколько и они сложные) таким образом, чтобы натился только ИСХОДЯЩИЙ трафик. Внутри ВПН натить трафик (туда/обратно) вообще не имеет особого смысла, это какой-то крайний случай.
То есть со всем этими вещами справились, с нат нет???
Ещё раз, настройте нат (даже если из несколько и они сложные) таким образом, чтобы натился только ИСХОДЯЩИЙ трафик. Внутри ВПН натить трафик (туда/обратно) вообще не имеет особого смысла, это какой-то крайний случай.
-
valeriy.repin
- Сообщения: 3
- Зарегистрирован: 01 ноя 2023, 06:27
Натить VPN имеет смысл, при том что не одна сеть под службу такси должна была быть, предполагалась репликация сервера изначально и иногда они поднимаются через USB-модем (для этого в принципе и поднят VPS), а без маскарадинга и dst-nat работать не будут (нужны определенные порты), так как GOIP шлюзы только с одной стороны, по OSPF они и так друг друга увидят, но проброс из ВНЕ не работает, ну или я по крайне мере не туда копаю... Завтра попробую, по результату напишу. Микроты не так давно начал осваивать, где-то в знаниях пробелы, вот и пытаюсь понять.