Тоннель из за ната без доступа к шлюзу

Обсуждение ПО и его настройки
Volokardin
Сообщения: 7
Зарегистрирован: 23 апр 2019, 21:11

Коллеги, помогите разобраться возможно ли и как реализовать:
Есть сеть офиса, к его маршрутизатору доступа нет (сбрасывать тоже нельзя), соответственно нет возможности пробросить порты внутрь.
Нужно подключить второй офис по тоннелю для доступа к серверам первого офиса.
Моя мысль: поставить mikrotik1 внутрь сети , подключить wan и lan к сети первого офиса, поставить во второй офис второй mikrotik2 и поднять тоннель с первого до второго.
Возможна ли в принципе такая схема? Может не нужно lan подключать к сети и можно одним интерфейсом обойтись подключая mikrotik1?
Если возможно, буду благодарен за помощь в настройке параметров ))
Кстати можно ли сменить порты для IPsec? а то похоже лишние исходящие зарезаны в первом офисе


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Все это можно. У микротика нет портов "wan" и "lan" разбивка на них есть только в вашей голове и да, для вашей схемы будет достаточно всего одного порта. Если "не пролазит" ipsec, используйте другой тоннель, например ovpn, или sstp, в крайнем случае уж pptp. Манов как поднят тоннель полный интернет и даже этот форум, гуглите и пробуйте, тема избита и заезжена. Единственное что вам придется сделать из не совсем стандартного - со стороны офиса где нет доступа к шлюзу, микротик внутри сети должен будет натить выходящее из тоннеля, что бы вам не пришлось писать маршруты непосредственно на ваших серверах, а со стороны другого офиса маршруты писать на самом микротике и все будет работать.


Andrey.S.
Сообщения: 16
Зарегистрирован: 22 апр 2019, 19:46

Если на офисе2 белый IP, то можно. Будет работать без проблем.
За НАТом в офисе1 ставите микрот, он будет клиентом стучатся на микрот офиса2. Даже если на офисе1 в маршрутизаторе, что на входе, зарублены все порты (на выход), то строите SSTP туннель (стандартный порт 443) и будет Вам счастье. Да и вариантов туннелей в микроте предостаточно. LAN в такой реализации не обязателен. Главное маршруты между сетями пропишите правильно.


Volokardin
Сообщения: 7
Зарегистрирован: 23 апр 2019, 21:11

Коллеги, а можно поподробнее про маршруты? и особенно как "натить выходящее из тоннеля" :)


Andrey.S.
Сообщения: 16
Зарегистрирован: 22 апр 2019, 19:46

Натить например так:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
подробнее про маршруты нельзя, не зная Ваших сетей. Проще сделать, чем рассказывать :)
Мануалов по этому поводу в сети очень много найти можно, причем тщательно пережованых.


Volokardin
Сообщения: 7
Зарегистрирован: 23 апр 2019, 21:11

Спасибо коллеги, Буду пробовать ))


Volokardin
Сообщения: 7
Зарегистрирован: 23 апр 2019, 21:11

В общем тоннель SSTP видимо и ребёнок бы поднял )) вроде все поднялось, маршруты прописал но пингов нет (( что на самом деле не удивительно ведь осталась самая сложная для меня часть... NAT буду благодарен за помощь.
На рисунке - как сейчас настроены сети. 192.168.13.73 соответственно mikrotik в офисе в котором SSTP клиент
Изображение


Volokardin
Сообщения: 7
Зарегистрирован: 23 апр 2019, 21:11

Andrey.S. писал(а): 23 апр 2019, 22:45 Натить например так:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
подробнее про маршруты нельзя, не зная Ваших сетей. Проще сделать, чем рассказывать :)
Мануалов по этому поводу в сети очень много найти можно, причем тщательно пережованых.
Мануалов много, но все в основном про нат в интернет и проброс портов внутрь, делал по анологии, но не взлетает :(
ставлю action=masquerade chain=srcnat out-interface-list=SSTPTONNEL


barber
Сообщения: 1
Зарегистрирован: 17 май 2019, 10:42

точно такая же задача и у меня))))) как завершу-отпишусь)


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Volokardin писал(а): 16 май 2019, 19:56
Andrey.S. писал(а): 23 апр 2019, 22:45 Натить например так:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
подробнее про маршруты нельзя, не зная Ваших сетей. Проще сделать, чем рассказывать :)
Мануалов по этому поводу в сети очень много найти можно, причем тщательно пережованых.
Мануалов много, но все в основном про нат в интернет и проброс портов внутрь, делал по анологии, но не взлетает :(
ставлю action=masquerade chain=srcnat out-interface-list=SSTPTONNEL
Этих данных недостаточно, покажите конфиг командой export, "замазав" пароли и прочие интимности.


Ответить