Russian Users MikroTik | Форум пользователей MikroTik

Помогите пожалуйста решить задачу.

Ситуация следующая:

Имеем 3 офиса, в каждом микротик с белым ip.

Микротик 1 - поднят vpn сервер для удаленных пользователей.
VPN сервер выдает определенные ip адреса пользователям. (настроенно в secrets) 27.65.10.50 - 27.65.10.150
В локальной сети Микротика 1 есть Терминальный сервер для пользователей и установлен 1С клиент.

Когда пользователь запускает 1С клиент, тот ищет 1С-Сервер с параметрами (ip: 27.65.0.11 и портам: 1540,1541) и подключается к 1С-Сервер (а).

Тут все ок. Люди работают.

Открылся Офис №3 с микротик 3.

Была задача одним легким правилом подключать 1С клиента на Терминальном сервере 27.65.10.10 к 1С-Серверу (б) с (ip: 27.65.0.11 по портам: 1540,1541)

создал правило на Микротик 3

action=netmap chain=dstnat comment="Проброс на 1С" dst-port=1540,1541 in-interface=WAN protocol=tcp to-addresses=65.65.0.11

Оно включено постоянно.
Затем на Микротик 1 создал правило:

action=netmap chain=dstnat comment="Проброс на Офис 3" dst-port=1540,1541 dst-address=27.65.0.11 protocol=tcp to-addresses=300.300.300.300

Включаю и выключаю это правило и все пользователи работают то на одном то на другом сервере.
Все ок.

Но тут появилась новая задача, над которой потерял сон уже 3 суток.
Нужно тоже самое, но для каждого пользователя отдельно.

Нужны 100 правил, которые можно включить или выключить, в зависимости от этого Пользователь 1 или 2 или 3, запуская 1С клиент на терминальном сервере (27.65.10.10) по запросу (ip: 27.65.0.11 и портам: 1540,1541) подключался бы то к 27.65.0.11 то к 65.65.0.11

Возможно ли такое вообще?

Конечно можно добавить еще один путь на 1С клиенте, и чтобы пользователь выбирал сам в какой базе работать, но это не вариант, Всю операцию нужно проделывать только на микротике.

Ниже блок схема со всеми параметрами

Netmap неправильный метод для перенаправления.
Возможное решение https://wiki.mikrotik.com/wiki/Manual:NTH_in_RouterOS

Не совсем понятна задача. Суть в чем? вариант 1 с утра все пользуемся одним сервером после обеда другим. Или вариант 2 пользователи 1-3-5 одним серверов пользователи 2-4-6 другим и сис админ решает кого куда подключить, а пользователь даже не догадывается на каком сервере работает?
Вместо 100 правил нужно писать два - с адрес листами, а вот адрес листы уже содержат 100 записей.

Функция netmap предназначена для маппинга сетей 1 к 1 и случай с одним адресом работает криво. замените netmap на dst-nat
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Спасибо за ответы. По приведенным ссылкам, все равно не понял как мне настроить. Суть такая:
100 пользователей работают в разных уголках страны. Нужно иметь возможность переключить конкретного пользователя на второй сервер, потом вернуть обратно. можете мне написать как должно выглядеть правило в терминале, с учетом моих данных?

Можно попробовать в dst-nat правилах указать в графе src-address-list список тех устройств, которые будут работать с именно этим правилом. Включая и выключая адреса в самих адрес-листах можно управлять доступом. Ну это в теории... Практику вам проводить.

podarok66 писал(а): ↑19 мар 2020, 20:29 Можно попробовать в dst-nat правилах указать в графе src-address-list список тех устройств, которые будут работать с именно этим правилом. Включая и выключая адреса в самих адрес-листах можно управлять доступом. Ну это в теории... Практику вам проводить.

Это я уже пробовал, не работает, видимо адреса выданные vpn сервером не годятся для применения в правилах dst-nat
Спасибо за ответ

milart77 писал(а): ↑20 мар 2020, 00:55 адреса выданные vpn сервером не годятся

Какие такие адреса, Вы о чем???
Пишите подробно и выкладывайте правила с которыми экспериментируете.
Если VPN туннель в бридже, то возможно, фильтровать нужно уже там.

Нууу, уважаемый. Наш Сабkо прав. Столь скудные ответы без пруфов приведут лишь полному забвению темы. Ну непонятно же ничего ...