Russian Users MikroTik | Форум пользователей MikroTik

Добрый день.
Подскажите пожалуйста по следующему вопросу.
Необходимо организовать доступ любого из DHCP клиентов, к любому из WEB серверов.




Сеть создана, интернет на всех устройствах есть, с DHCP клиентов доступ к серверу по WinBox есть.
VPN вроде работает, по крайней мере в сервере отображаются активные клиенты.

Хочу понять логику прохождения пакетов, и правила их пере направления.

При создании правил dst-nat на VPN клиентах RB941, в качестве входного интерфейса выбираю создавшийся при подключении к серверу VPN.
Указываю протокол TCP, 80й порт, в Action указываю внутренний адрес сервера.
Помимо этого разрешаю полностью трафик для цепочек Input Forward для входного интерфейса VPN.

Нужно ли правило src-nat для HTTP сервера?

До тех пор пока в каждом офисе (941) одна и та же подсеть 10.0.4.0/24 и НТТР сервер имеет одинаковый адрес 10.0.4.3 у Вас вряд ли что получится.
И каким образом Ваш вопрос относится к теме "Проброс портов..." ?

Ca6ko писал(а): ↑10 дек 2021, 13:42 До тех пор пока в каждом офисе (941) одна и та же подсеть 10.0.4.0/24 и НТТР сервер имеет одинаковый адрес 10.0.4.3 у Вас вряд ли что получится.
И каким образом Ваш вопрос относится к теме "Проброс портов..." ?

Ранее работала подобная сеть с пробросом портов, но на другом оборудовании, проблем не было. Одинаковые подсети для VPN клиентов выбраны для упрощения и унификации настроек. Локальные сети находятся за NATом, конфликтов быть не должно по идее. Или не так рассуждаю?

Ca6ko писал(а): ↑10 дек 2021, 13:42 И каким образом Ваш вопрос относится к теме "Проброс портов..." ?

Вот и я так подумал. Спасибо за внимательность.

podarok66 писал(а): ↑10 дек 2021, 19:55

Ca6ko писал(а): ↑10 дек 2021, 13:42 И каким образом Ваш вопрос относится к теме "Проброс портов..." ?

Вот и я так подумал. Спасибо за внимательность.

Отчасти согласен, вопрос комплексный, но конкретная задача соответствующая названию темы, была озвучена а для лучшего понимания приведена схема сети.
В общем правила проброса были написаны корректно, но для нормального функционирования, на VPN клиентах необходимо было добавить правило src-nat для исходящего интерфейса VPN, в качестве адреса назначения, указана VPN сеть 10.0.3.0/24.

Единственное пока не совсм понял, при пробросе портов, в правилах фаервола обязательно создавать разрешающее правило цепочки forvard для VPN интерфейса? Нужно разобраться с путями движения трафика внутри Микротик).