помогите с пробросом реального адреса

[dh28]

Доброго дня. Прошу помощи в сабже. Есть видеорегистратор, который нужно выставить в интернет. Интернет соединение с серым ip адресом. Суть проблемы в следующем. Стоимость аренды белого адреса - 60у.е в месяц. Подключение услуги - 85 долл. Дороговато. Есть vps на хостинге, на котором крутится mikrotik и на котором есть пару свободных белых ip адреса (10$ в месяц). Чтобы выставить видео наружу запустил на VPS-микротике pptp сервер. На wan-интерфейсе включил proxy-arp. pptp серверу и клиенту дал два отдельных реальных ip (все эти ip в одной подсети прова /24), затем завел на бридж со включенных proxy-arp. В итоге с интернета стали доступны адреса wan и pptp-сервера. Адрес pptp клиента не пингуется. На клиентском микротике и VPS пингуются все интерфейсы. В итоге подозреваю что неправильно настроена маршрутизация на клиенте. Все таки у него дефолтный шлюз это не адрес pptp-сервера (если его указать интернет соединение на клиенте рвется). Не может ли быть проблема в том что pptp клиенту выдается реальный ip c маской /32, хотя провайдер выдал три ip с маской /24?

 

настройки микротика на VPS хостинге

 

настройки клиентского микротика

 

На файрволе VPS и pptp клиента все необходимые порты включил.Просто добавив "разрешить всё" на цепочках input и forward. Прошу посоветовать где копать чтобы решить проблему?

[Saab95]

Вам надо на микротике, где белые адреса, и на втором, включить OSPF. В разделе Routing-OSPF на вкладке Network указать подсеть например 10.10.10.0/24 и вашу белую подсеть /24.

Далее создаете L2TP клиента с адресами локал - 10.10.10.1 и ремоут - 10.10.10.2.

На интерфейсе с белыми адресами включаете прокси арп.

На вашем втором микротике на интерфейс, куда подключен регистратор, вешаете белый адрес вида address=123.123.123.1, network=123.123.123.x - где х нужная цифра адреса, который даете на регистратор. На самом регистраторе указываете в качестве адреса указанный адрес в network, в качестве шлюза то же но с 1 на конце, маска 255.255.255.0. Если с регистратора нужно иметь доступ на ту же подсеть, которую ему дали, то включаете на интерфейсе прокси арп.

 

Никакие там бриджи и прочее, что указали на картинках, добавлять в ппп не нужно.

 

В итоге у вас будет так - адрес установлен на регистраторе, далее на втором микротике, второй микротик анонсит его через OSPF, а первый микротик подставляет его через прокси арп в порт провайдера. Все работает без пробросов портов, на регистраторе белый IP.

[dh28]

Жалко, не работает совсем. белые ip-адреса из одной подсети. Если "вешать" их на интерфейс wan VPS-микротика то все работает без проблем. Если паралельно вешать еще один ip на pptp интерфейс, то vpn-туннель рвется. Пробовал вешать и на стороне сервера и на стороне клиентского микротика, все равно не работает.

 

В логах: Discarding packet locally originated src address = 178.88.115.211

 

Блин наверное нужно чтобы на wan интерфейсе был ip из подной подсети, а на pptp из другой? Попросил в аренду у VPS-провайдера, но у них других подсете нет, только один. Получается остается только НАТить на серый адрес?

Edited May 16, 2015 by dh28

[dh28]

Сааб, большое вам спасибо за отзывчивость. Свою задачу с божьей помощью решил. Как оказалось зря пытался все реализовать на 3-ем уровне. Сделал по другому. На обоих микротиках сделал l2tp-соединение. Затем поверх него настроил eoip-туннель. После этого на клиентском микротике забриджевал eoip-туннель с нужным портом, куда и соединил видеорегистратор. На регистраторе прописал шлюзом хостеровский микротик. Затем настроил source nat c белого ip на клиенский. Вот оно счастье.. Заинтересовал ваш вариант, он тоже рабочий, но блин намучился.. Проблема по видимому была в маркировке от клиента. Клиентский микротик упорно не желал маршрутизировать коннекшны через туннель. Прописывал и вручную и OSPF\RIP. Маркировка от хостеровского микротика показывает что пакеты доходят до клиента, но затем ответы уходят через дефолтный шлюз, а не заворачиваются в туннель. Несмотря на то что стояли проверенные западными камрадами настройки. также в ходе дебага обнаружилось что нужно даунгрейдить прошивку серверного микрота до версии 6.18. На последних просто не работало. На это ушло еще неделю веселого дебага. Но все же в конце хэппи энд.

[Saab95]

Если вы сделали так как написали с туннелем, то на бридже нужно в поле админ мак указать мак адрес сетевого порта, иначе может сложится такая ситуация, что когда удаленный клиент отключится, поменяется мак на бридже и все сетевые соединения оборвутся.