dst-nat и VPN не пробрасываются порты (помогите чайнику)

Ishimura · 17 окт 2012, 16:34

Добрый день, прошу простить заранее, я чайник(. Есть 2 микротика RB750G, связанные по VPN. Микротик А- PPTP Server, микротик Б- клиент. Трафик, идущий с 475 порта подключенного к микротику Б ПК, должен идти на 475 порт ПК, подключенного к микротику А. Создал правила для TCP и UDP, выглядящие примерно таким образом (с командной строкой работать не умею, настраиваю через интерфейс).

Микротик Б

General Action

Chain: dstnat Action: dst-nat
Dst. Address 10.10.3.2 ToAdresses: 10.10.3.1
Protocol: UPD ToPorts: 475
Dst. Port: 475
In. Interface: local-master (сюда подключен ПК)

Микротик А

Chain: dstnat Action: dst-nat
Dst. Address 10.10.3.1 ToAdresses: 192.168.1.4
Protocol: UPD ToPorts: 475
Dst. Port: 475

Аналогично настроено для TCP. Сейчас запретов в фильтре не стоит, не могу понять, почему не идет трафик, помогите пожалуйста!

17 окт 2012, 17:15

10.10.3.2 - это что за адрес?
посмотрите по цепочке, в мтике есть такая функция как Torch, на каждом интерфейсе каждого мтика, точно ли изначально от ПК-Б пакеты летят по адресу 10.10.3.2?
И собственно суть этих действий? 475 это SMB и AD вроде как.

iSupport · 17 окт 2012, 20:29

нарисуйте нормальную схему, будем рады помочь, но чтоб помогать надо понять в чем проблема

Ishimura · 18 окт 2012, 10:50

Прошу прощения, за неточность формулировки, выкладываю схему.

п.с. smb использует 445 порт, 475 используют аппаратные ключи защиты HASP.

Nat на Mikrotik Б

Nat на Mikrotik А

18 окт 2012, 11:38

чисто теоретически все настроено верно. по хорошему, на 192.168.2.4 можно было бы запстить Wireshark и посмотреть, прилетает ли ему что нибудь по порту 475. см скрин. если там будут приходить пакеты, то проброс работает и надо искать проблему в обратном ответе. если пакетов нет, то смотреть на 10.10.3.1 утилитой Torch есть ли пакеты от мтика Б к мтику А.

wireshark.png: (107.89 КБ) 151 скачивание

а вообще, по хорошему, если это у вас какие то два офиса удаленные друг от друга, то настроили бы маршрутизацию между ними. и подняли бы gre тунель между мтиками. и обращался бы 192.168.1.11 непосредственно к 192.168.2.4

п.с. smb использует 445 порт, 475 используют аппаратные ключи защиты HASP.

седина мне в бород, бес в ребро =)

Ishimura · 18 окт 2012, 16:33

Да, посмотрел WireShark'om нету ничего по 475, все таки трафик не доходит, вы правы. Дописал правила на обратную связь с привязкой к интерфейсам- один фиг не пролетает трафик.

а вообще, по хорошему, если это у вас какие то два офиса удаленные друг от друга, то настроили бы маршрутизацию между ними. и подняли бы gre тунель между мтиками. и обращался бы 192.168.1.11 непосредственно к 192.168.2.4

Можно по подробней? Как это логически будет выглядеть?

18 окт 2012, 17:26

если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1

Код: Выделить всё

interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept

мтик2

Код: Выделить всё

interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept

цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.

Ishimura · 22 окт 2012, 13:32

simpl3x писал(а):если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1
Код: Выделить всё
interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept
мтик2
Код: Выделить всё
interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept
цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.

Спасибо, вечерком попробую. Я так понимаю, код создает тунель, перенаправляющий трафик через новосозданный интерфейс "toOffice1"?

Ishimura · 30 окт 2012, 16:16

simpl3x писал(а):если на коленке то примерно так, по вашей схеме с сохранением адресов
мтик1
Код: Выделить всё
interface gre add name=toOffice2 local-address=30.30.30.30 remote-address=20.20.20.20
ip address add address=10.10.3.1/24 interface=toOffice2
ip route add dst-address=192.168.1.0/24 gateway=10.10.3.2
ip firewall nat add chain=dstnat dst-address=192.168.1.0/24 action=accept
мтик2
Код: Выделить всё
interface gre add name=toOffice1 local-address=20.20.20.20 remote-address=30.30.30.30
ip address add address=10.10.3.2/24 interface=toOffice1
ip route add dst-address=192.168.2.0/24 gateway=10.10.3.1
ip firewall nat add chain=dstnat dst-address=192.168.2.0/24 action=accept
цепочки "ip firewall nat add chain=dstnat" надо разместить над всеми маскарадами и прочим натом.
при условии что в фаерволе разрешено хождение, в итоге получите маршрутизацию между сетями 192.168.1.0/24 и 192.168.2.0/24.

Код: Выделить всё

bad command name gre (line 1 column 11)

выдает((. Запись "interface gre add" создает EoIP тунель я так понимаю? Без командной строки через интерфейс такое сделать можно?

30 окт 2012, 17:46

нене, GRE это отдельный протокол. Но впринципе EoIP тоже подойдёт.

dst-nat и VPN не пробрасываются порты (помогите чайнику)

Вход • Регистрация