nagnag Posted January 28, 2018 Posted January 28, 2018 Есть микротик 951 (А), Роутер Йота кабелем подключен к А, серый адрес, локалка 192.168.11.0/24 , адрес А 192.168.11.1 Есть микротик 951 (Б), белый постоянный адрес, локалка 192.168.12.0/24, адрес Б 192.168.12.1 - настроен канал l2tp ipsec , где А является клиентом (192.168.15.2), Б - сервером (192.168.15.1) - с Б пингуется 192.168.15.2 - С Б пингуется 192.168.11.1 - в фаерволе А нет запрещающих правил - в сервисах А отключено все кроме винбокса - к А временно нет физического доступа - к А нет доступа из локалки Б по винбоксу Возможно ли сейчас получить доступ к А через канал? Далее как появится доступ, задача стоит обеспечить подключение снаружи (еще один сервер впн нужен, со своей адресацией?)через Б на хост в локалке А, без доступа к локалке Б Вставить ник Quote
nagnag Posted January 28, 2018 Author Posted January 28, 2018 Похоже нужен маршрут на А - ходить в 192.168.12.0/24 через 192.168.15.1, иначе все уходит по дефолтному маршруту в йоту. Значит надо делать на месте. Остается вопрос с подключением внешних пользователей. Вставить ник Quote
nkusnetsov Posted January 29, 2018 Posted January 29, 2018 (edited) @nagnag , для того, чтобы сейчас получить доступ к А можно настроить маскарад: /ip firewall nat add action=masquerade chain=srcnat disabled=no dst-address=192.168.15.2 place-before=0 Затем можно подключиться к туннельному IP A (192.168.15.2) если в фаерволе действительно нет запретов. Edited January 29, 2018 by nkusnetsov Вставить ник Quote
nagnag Posted January 29, 2018 Author Posted January 29, 2018 (edited) правило создано, при попытке подключения счетчик пакетов в этом правиле не меняется сменил src-nat на srcnat и доступ появился! Edited January 29, 2018 by nagnag Вставить ник Quote
nkusnetsov Posted January 29, 2018 Posted January 29, 2018 13 минут назад, nagnag сказал: сменил src-nat на srcnat и доступ появился! Да, действительно, у меня вкралась опечатка. Правильно "srcnat" Вставить ник Quote
nagnag Posted January 29, 2018 Author Posted January 29, 2018 (edited) Переходим к главному вопросу - подключение внешних пользователей. Адреса беру из той же подсети как и транзитные? Гейтом выбираю транзитный интерфейс (между двумя микротиками)? Хмм, написал и понял, что пк внешних пользователей не знают про этот интерфейс, но знают про 192.168.15.1 - это указываю гейтом? Edited January 29, 2018 by nagnag Вставить ник Quote
nagnag Posted January 29, 2018 Author Posted January 29, 2018 тестовому пользователю выделил адрес 192.168.15.3, на другом конце , на Б адрес 192.168.15.1 на пк тестового пользователя прописал маршрут ходить в 192.168.7.0/24 через 192.168.15. 1 на А прописал маршрут ходить в 192.168.15.0/24 через транзитный интерфейс Доступ к хосту получил, но решение какое то костыльное , что можно улучшить? Вставить ник Quote
nkusnetsov Posted January 29, 2018 Posted January 29, 2018 @nagnag , кажется Вы перемудрили. У Вас заявлены подсети "11","12" и "15". Где и зачем сеть "7" ? Вставить ник Quote
bartem Posted January 29, 2018 Posted January 29, 2018 (edited) 52 minutes ago, nkusnetsov said: @nagnag , кажется Вы перемудрили. У Вас заявлены подсети "11","12" и "15". Где и зачем сеть "7" ? Ну сейчас моя очередь опечататься ) . Правильно вот так - ходить в 192.168.11.0/24 через 192.168.15. 1 Вообщем я нашел логин, под которым когда то регистрировался, не обращайте внимания на раздвоение личности ) Edited January 29, 2018 by bartem Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.