Перейти к содержимому
Калькуляторы

Как попасть на удаленный 4G модем через 2 микротика и VPN?

Уважаемые форумчане! Прям избадался в попытках получить удаленный доступ к LTE модему через VPN.
Есть 2 микротика. На MKT1 со статическим IP, внутренняя сеть за натом 172.16.0.0/20, поднят сервер L2TP+IPsec 192.168.100.10/24 и выдает второму микротику (МКТ2) по ВПН 192.168.10.103.  Прописан маршрут add distance=1 dst-address=192.168.103.0/24 gateway=192.168.100.103 pref-src=192.168.100.10
Второй микротик МКТ2 снутри натит 192.168.103.1/24 и висит по DHCP на 4G модеме 192.168.8.1, прописан обратный маршрут ВПН add distance=1 dst-address=172.16.0.0/20 gateway=192.168.100.10 pref-src=192.168.100.103
IPsec заводится, PH2 State established.
С компа из сети 172.16.0.0 открывается MKT2 по адресу 192.168.103.1, НО до модема добраться не получается.

Когда прописываю в МКТ2 add action=dst-nat chain=dstnat dst-address=192.168.103.1 dst-port=8081 log=yes log-prefix="\"\"" \
    protocol=tcp to-addresses=192.168.8.1 to-ports=80
из сети 172.16.0.0 браузер потупив адресную строку меняет на хттп://192.168.8.1/html/index.html?url=192.168.103.1:8081
В логах МКТ2  firewall,info "" dstnat: in:l2tp-out1 out:(unknown 0), proto TCP (SYN), 172.16.0.2:61274->192.168.103.1:8081, len 48
Из прочих порожняковых экспериментов:
Когда в МКТ1 прописываю add distance=1 dst-address=192.168.8.0/24 gateway=192.168.100.103
то с МКТ1 до модема 192.168.8.1 ходят пинги, но с компа нет. Трассировка с компа идет не в ВПН, а в шлюз по умолчанию МКТ1, к внешнему IP pppoe-шки от провайдера. Ну там дистанция 0 стоит, ее не поменять.

Как попасть в модем пробросив порт? Что-то я затупил... Помогите советом :)
Тему на 4 страницы https://forum.nag.ru/index.php?/topic/118214-dostup-na-4g-modem-podklyuchennogo-k-routeru-cherez-vpn/&page=4 читал, но ничего не понял.

Изменено пользователем Di1Worker

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ой, только не все сразу! Реально никто не поможет?...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а чё тут помогать, и главное, зачем? гугл никто не отменял, вопрос к маршрутизации, почитайте про socks5 proxy via ssh.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за наводку! Погуглил-почитал.

Если правильно понял намек, то на удаленном МКТ2 разрешаются входящие по ТСР на 22 порт, в IP-Socks ставим галочку, порт 1080 по дефолту, нажимаем Access, Src. и Dst. адреса ставятся 0.0.0.0/0 (на пока).

Далее на компе в сети МКТ1 запускаю Putty, на Session ввожу 192.168.103.1 порт 22, на вкладке  Connection-->SSH-->Tunnels вписываю порт 1080, точка на Dynamic, добавляю кнопкой ADD, жму Open. Ввожу пользователя, пароль, открывается микротиковский терминал. В браузере (ФаерФокс) в сетевых настройках ставлю Прокси, Socks4, адрес 127.0.0.1, порт 1080.  При попытке с браузера 192.168.8.1 (или 192.168.103.1) прокси не отвечает, Putty отваливается с ошибкой Strange packet resived: type 82.

 

Может я все неправильно понял?

Изменено пользователем Di1Worker
очепятки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ЁЁЁ...Маёёё!!! Заработало! Не может быть! )))

Спасибо, тебе Добрый Человек! Век помнить буду!  Кто-бы мог подумать... этого  /ip ssh даже в винбоксе нет. Только по секретным форумам ))

А дальше по Пушкину: "Еще пуще старуха вздурилась:"

Может есть какое-то более изящное решение? Уж больно неудобно каждый раз как приспичит в Лисёнке проксю прописывать, Putty запускать, пароли вводить...   Можно, конечно, в Лисёнка FoxyProxy поставить, но может быть как-нибудь иначе можно разрулить маршрутизацию, чтобы просто по IP-шнику без проксей открывать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно и через порт-форвардинг на втором микротике, но с точки зрения настройки микротика, это был самый простой способ:))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прописывал в МКТ2 add action=dst-nat chain=dstnat dst-address=192.168.103.1 dst-port=8081 log=yes log-prefix="\"\"" \
    protocol=tcp to-addresses=192.168.8.1 to-ports=80

И пробовал add action=dst-nat chain=dstnat dst-address=192.168.103.2 to-addresses=192.168.8.1  (103.2 свободен)  - нифига!  В браузере адресную строку меняет на хттп://192.168.8.1/html/index.html?url=192.168.103.1  и ничего...  Мож какой-то обратный форвардинг нужен?   NewUse, изложи мыслю ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https://m.habr.com/ru/post/182166/

просто прокиньте порт 80 или 443(какой он там юзает) модема, на какой-нибудь верхнй порт роутера.

 

на МТ2:

 

/ip firewall nat add chain=dstnat dst-port=8888 action=dst-nat protocol=tcp to-address=адрес_модема to-port=порт_модема

 

заход:

http(s)://адрес_мт2:8888/

 

может он с http на https строку меняет? тогда порт нужно 443 и заходить через https

но, имхо, прокси-плагин и забить.

 

зы: вопрос к беспроводки отношения не имеет, ему место в профильном разделе по микротику в проводных сетях, хотя это вообще база и гугл рулит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот это как раз и не срабатывает.

Роутеров 2. MKT1 это где комп и МКТ2 где модем.

Как я понимаю, комп через ВПНку может напрямую обращаться к внутренней сети МКТ2, но куда и как прописать маршрутизацию "наружу" от МКТ2-???  У меня получалось только через dst-nat с просторов интернета во внутреннюю сеть МКТ1 попадать. Тут по идее наоборот, нужно из внутренней сети МКТ1 во внешнюю MKT2 попасть. Теоретически - использовать src-nat на МКТ2 и какой-то верхний порт роутера МКТ2. Можно чуть подробнее, куда-что прописать?  А то ну совсем не выходит...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в mkt2 по какому адресу Вы заходите, например, по ssh?

по какому адресу Вы попадаете на модем через прокси?

 

Вот отличная статья на русском языке, поясняющая, что, зачем и как работает: https://interface31.ru/tech_it/2019/07/probros-portov-i-hairpin-nat-v-routerah-mikrotik.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По ssh 192.168.103.1, через прокси на модем по адресу 192.168.8.1. Putty строит туннель с компа в роутер МКТ2 сквозь ВПН, Браузер через проксю работает с 192.168.103.1 и, все что не относится к внутренней сети МКТ2 или внутренней сети МКТ1 уходит в шлюз по умолчанию, через маскарадинг обращение с браузера по 192.168.8.1 попадает в модем за МКТ2. Если нету прокси, то все не попадающее во внутренние сети 172.16.0.0 и 192.168.103.0 уходит в шлюз МКТ1 не заворачивая в ВПН. Соответственно, без прокси, пытаюсь что-то мутить на МКТ2, и с браузера общаться с портом на 192.168.103.1, пытаясь попасть наружу, к модему, на 192.168.8.1. В стандартной ситуации, обращаясь с внутренней сети МКТ2 к 8.1 срабатывает маскарад, а как тут роутеру втолковать, что мне к 8.1  через маскарад попасть надо, при этом в браузере обращаясь к 103.1 - ???  МКТ2 имеет еще 192.168.8.100 адрес по DHCP от модема. Может как-то его нужно задействовать? Но у меня в голове это не укладывается.

 

Обе статьи подробные, хорошие. Внятно описывают стандартную ситуацию, когда снаружи роутера нужно попасть во внутреннюю подсеть.

Изменено пользователем Di1Worker
очепятки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вторая статья, начиная со слов Hairpin NAT, именно Ваш случай, если я правильно понял схему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NewUse! Спасибо за искренне старание, но случай не мой. ЗАТО в ходе размышлений появилась идея. Отосплюсь - попробую. Нужно чтобы модем своим адресом попадал в сеть ВПН 103.0/24 у МКТ1, а у МКТ2 сеть подрезать маской до /25 и модем сделать не 8.1, а 103.150 например. Тогда МКТ2 сам без бубнов будет понимать, что все, что за 127 адресом какая-то внешняя сеть! Обращения на 192.168.103.150 у МКТ1 попадут в ВПН к МКТ2, а он, получив с ВПНа пакет адресованый "шире" своей маски, отправит его наружу через маскарадинг зная наверняка, что 103.150 - это его родной модем. Ну как-то так, но не исключено что это больная мечта вскипевшего мозга, а микротики мое желание интерпретируют иначе )))

Изменено пользователем Di1Worker
..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ура! Прокатило! На МКТ2 внутреннюю сетку маской порезал пополам. Модем сделал 192.168.103.129, а роутер 192.168.103.1/25. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.