Jump to content
Калькуляторы

Проброс трафика

добрый день!

Уважаемые гуру. прошу помощи.

Есть два микротика. Одному (1) прилетает белый IP 90.189.116.193(ip исправлен понятное дело).

Второй (2) микротик подключен к первому посредством vpn. Настройки 192.168.100.1 адрес локальный vpn сервера (настройка прилетает) адрес (2) микротику назначается 172.16.2.76.

 

Для удобства управления необходимо один порт от белого IP 90.189.116.193:33333 прокинуть на (2) микротик стандартный 8291.

На (1) микротике прописал по схеме с интернета(пока прокидываю все порты)

Nat Rule 

Chain srcnat

Src Address 172.16.2.76

Action netmap

to addresses  90.189.116.193

 

Nat Rule 2

Chain dsnat

Dst Address 90.189.116.193

Action dst-nat

to addresses 172.16.2.76

 

У (2) микротика весь трафик пущен через vpn и установлен маскарад на данное подключение. 

 

Данная схема работает на ура, НО

при подключению к (2) микротику по белом 90.189.116.193 подключение (судя по логам) происходит не от домашнего устройства (185.123.23.2) а от vpn локального 192.168.100.1. И встал вопрос как контролировать подключения, а то подключайся хоть откуда будет один и тот же адрес 192.168.100.1, ну и настроить ограничения по входящему трафику тоже не получается.

 

Подскажите как настроить чтобы (2) микротику прилетал ip адрес именно подключения того устройства которое подключается к нему по белому IP, а не адрес локальный vpn/

Share this post


Link to post
Share on other sites
55 минут назад, alemsin сказал:

Решение оказалось простым. Необходимо было перевести на l2 сеть.

Подробнее здесь.

https://voxlink.ru/kb/linux/nastrojka-eoip-tonnelja-na-setevom-oborudovanii-mikrotik/

https://mum.mikrotik.com/presentations/RU16/presentation_3770_1476016760.pdf  посмотрите документ, там утверждают, что есть более подходящее решение для L2

 

Share this post


Link to post
Share on other sites

Еще можно OSPF включить.

 

На деле можно было ничего не менять, достаточно было на первом микротике включить PPTP или L2TP сервер, дальний микротик подключить к нему внутри сети и уже сделать сразу проброс на его прямой IP адрес. В таком случае если у вас внутри сети много микротиков, на которые нужно сделать много пробросов без подключения администратора по VPN, то это лучший способ.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this