Jump to content
Калькуляторы

Как попасть на удаленный 4G модем через 2 микротика и VPN?

Уважаемые форумчане! Прям избадался в попытках получить удаленный доступ к LTE модему через VPN.
Есть 2 микротика. На MKT1 со статическим IP, внутренняя сеть за натом 172.16.0.0/20, поднят сервер L2TP+IPsec 192.168.100.10/24 и выдает второму микротику (МКТ2) по ВПН 192.168.10.103.  Прописан маршрут add distance=1 dst-address=192.168.103.0/24 gateway=192.168.100.103 pref-src=192.168.100.10
Второй микротик МКТ2 снутри натит 192.168.103.1/24 и висит по DHCP на 4G модеме 192.168.8.1, прописан обратный маршрут ВПН add distance=1 dst-address=172.16.0.0/20 gateway=192.168.100.10 pref-src=192.168.100.103
IPsec заводится, PH2 State established.
С компа из сети 172.16.0.0 открывается MKT2 по адресу 192.168.103.1, НО до модема добраться не получается.

Когда прописываю в МКТ2 add action=dst-nat chain=dstnat dst-address=192.168.103.1 dst-port=8081 log=yes log-prefix="\"\"" \
    protocol=tcp to-addresses=192.168.8.1 to-ports=80
из сети 172.16.0.0 браузер потупив адресную строку меняет на хттп://192.168.8.1/html/index.html?url=192.168.103.1:8081
В логах МКТ2  firewall,info "" dstnat: in:l2tp-out1 out:(unknown 0), proto TCP (SYN), 172.16.0.2:61274->192.168.103.1:8081, len 48
Из прочих порожняковых экспериментов:
Когда в МКТ1 прописываю add distance=1 dst-address=192.168.8.0/24 gateway=192.168.100.103
то с МКТ1 до модема 192.168.8.1 ходят пинги, но с компа нет. Трассировка с компа идет не в ВПН, а в шлюз по умолчанию МКТ1, к внешнему IP pppoe-шки от провайдера. Ну там дистанция 0 стоит, ее не поменять.

Как попасть в модем пробросив порт? Что-то я затупил... Помогите советом :)
Тему на 4 страницы https://forum.nag.ru/index.php?/topic/118214-dostup-na-4g-modem-podklyuchennogo-k-routeru-cherez-vpn/&page=4 читал, но ничего не понял.

Edited by Di1Worker

Share this post


Link to post
Share on other sites

Ой, только не все сразу! Реально никто не поможет?...

Share this post


Link to post
Share on other sites

а чё тут помогать, и главное, зачем? гугл никто не отменял, вопрос к маршрутизации, почитайте про socks5 proxy via ssh.

Share this post


Link to post
Share on other sites

Спасибо за наводку! Погуглил-почитал.

Если правильно понял намек, то на удаленном МКТ2 разрешаются входящие по ТСР на 22 порт, в IP-Socks ставим галочку, порт 1080 по дефолту, нажимаем Access, Src. и Dst. адреса ставятся 0.0.0.0/0 (на пока).

Далее на компе в сети МКТ1 запускаю Putty, на Session ввожу 192.168.103.1 порт 22, на вкладке  Connection-->SSH-->Tunnels вписываю порт 1080, точка на Dynamic, добавляю кнопкой ADD, жму Open. Ввожу пользователя, пароль, открывается микротиковский терминал. В браузере (ФаерФокс) в сетевых настройках ставлю Прокси, Socks4, адрес 127.0.0.1, порт 1080.  При попытке с браузера 192.168.8.1 (или 192.168.103.1) прокси не отвечает, Putty отваливается с ошибкой Strange packet resived: type 82.

 

Может я все неправильно понял?

Edited by Di1Worker
очепятки

Share this post


Link to post
Share on other sites

ЁЁЁ...Маёёё!!! Заработало! Не может быть! )))

Спасибо, тебе Добрый Человек! Век помнить буду!  Кто-бы мог подумать... этого  /ip ssh даже в винбоксе нет. Только по секретным форумам ))

А дальше по Пушкину: "Еще пуще старуха вздурилась:"

Может есть какое-то более изящное решение? Уж больно неудобно каждый раз как приспичит в Лисёнке проксю прописывать, Putty запускать, пароли вводить...   Можно, конечно, в Лисёнка FoxyProxy поставить, но может быть как-нибудь иначе можно разрулить маршрутизацию, чтобы просто по IP-шнику без проксей открывать?

Share this post


Link to post
Share on other sites

можно и через порт-форвардинг на втором микротике, но с точки зрения настройки микротика, это был самый простой способ:))

Share this post


Link to post
Share on other sites

Прописывал в МКТ2 add action=dst-nat chain=dstnat dst-address=192.168.103.1 dst-port=8081 log=yes log-prefix="\"\"" \
    protocol=tcp to-addresses=192.168.8.1 to-ports=80

И пробовал add action=dst-nat chain=dstnat dst-address=192.168.103.2 to-addresses=192.168.8.1  (103.2 свободен)  - нифига!  В браузере адресную строку меняет на хттп://192.168.8.1/html/index.html?url=192.168.103.1  и ничего...  Мож какой-то обратный форвардинг нужен?   NewUse, изложи мыслю ))

Share this post


Link to post
Share on other sites

https://m.habr.com/ru/post/182166/

просто прокиньте порт 80 или 443(какой он там юзает) модема, на какой-нибудь верхнй порт роутера.

 

на МТ2:

 

/ip firewall nat add chain=dstnat dst-port=8888 action=dst-nat protocol=tcp to-address=адрес_модема to-port=порт_модема

 

заход:

http(s)://адрес_мт2:8888/

 

может он с http на https строку меняет? тогда порт нужно 443 и заходить через https

но, имхо, прокси-плагин и забить.

 

зы: вопрос к беспроводки отношения не имеет, ему место в профильном разделе по микротику в проводных сетях, хотя это вообще база и гугл рулит.

Share this post


Link to post
Share on other sites

Вот это как раз и не срабатывает.

Роутеров 2. MKT1 это где комп и МКТ2 где модем.

Как я понимаю, комп через ВПНку может напрямую обращаться к внутренней сети МКТ2, но куда и как прописать маршрутизацию "наружу" от МКТ2-???  У меня получалось только через dst-nat с просторов интернета во внутреннюю сеть МКТ1 попадать. Тут по идее наоборот, нужно из внутренней сети МКТ1 во внешнюю MKT2 попасть. Теоретически - использовать src-nat на МКТ2 и какой-то верхний порт роутера МКТ2. Можно чуть подробнее, куда-что прописать?  А то ну совсем не выходит...

Share this post


Link to post
Share on other sites

в mkt2 по какому адресу Вы заходите, например, по ssh?

по какому адресу Вы попадаете на модем через прокси?

 

Вот отличная статья на русском языке, поясняющая, что, зачем и как работает: https://interface31.ru/tech_it/2019/07/probros-portov-i-hairpin-nat-v-routerah-mikrotik.html

Share this post


Link to post
Share on other sites

По ssh 192.168.103.1, через прокси на модем по адресу 192.168.8.1. Putty строит туннель с компа в роутер МКТ2 сквозь ВПН, Браузер через проксю работает с 192.168.103.1 и, все что не относится к внутренней сети МКТ2 или внутренней сети МКТ1 уходит в шлюз по умолчанию, через маскарадинг обращение с браузера по 192.168.8.1 попадает в модем за МКТ2. Если нету прокси, то все не попадающее во внутренние сети 172.16.0.0 и 192.168.103.0 уходит в шлюз МКТ1 не заворачивая в ВПН. Соответственно, без прокси, пытаюсь что-то мутить на МКТ2, и с браузера общаться с портом на 192.168.103.1, пытаясь попасть наружу, к модему, на 192.168.8.1. В стандартной ситуации, обращаясь с внутренней сети МКТ2 к 8.1 срабатывает маскарад, а как тут роутеру втолковать, что мне к 8.1  через маскарад попасть надо, при этом в браузере обращаясь к 103.1 - ???  МКТ2 имеет еще 192.168.8.100 адрес по DHCP от модема. Может как-то его нужно задействовать? Но у меня в голове это не укладывается.

 

Обе статьи подробные, хорошие. Внятно описывают стандартную ситуацию, когда снаружи роутера нужно попасть во внутреннюю подсеть.

Edited by Di1Worker
очепятки

Share this post


Link to post
Share on other sites

Вторая статья, начиная со слов Hairpin NAT, именно Ваш случай, если я правильно понял схему.

Share this post


Link to post
Share on other sites

NewUse! Спасибо за искренне старание, но случай не мой. ЗАТО в ходе размышлений появилась идея. Отосплюсь - попробую. Нужно чтобы модем своим адресом попадал в сеть ВПН 103.0/24 у МКТ1, а у МКТ2 сеть подрезать маской до /25 и модем сделать не 8.1, а 103.150 например. Тогда МКТ2 сам без бубнов будет понимать, что все, что за 127 адресом какая-то внешняя сеть! Обращения на 192.168.103.150 у МКТ1 попадут в ВПН к МКТ2, а он, получив с ВПНа пакет адресованый "шире" своей маски, отправит его наружу через маскарадинг зная наверняка, что 103.150 - это его родной модем. Ну как-то так, но не исключено что это больная мечта вскипевшего мозга, а микротики мое желание интерпретируют иначе )))

Edited by Di1Worker
..

Share this post


Link to post
Share on other sites

Ура! Прокатило! На МКТ2 внутреннюю сетку маской порезал пополам. Модем сделал 192.168.103.129, а роутер 192.168.103.1/25. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this