Jump to content
Калькуляторы

Как пробросить порт в vpn на микротике?

Здравствуйте, товарищи!
Помогите пожалуйста с пробросом порта.
Имеется центральный офис с белым ip и локалкой 192.168.1.0 и филиал с локалкой 192.168.2.0. Между ними vpn pptp. Настроен маршрут и пакеты ходят туда сюда без проблем. В филиале стоит веб сервер 192.168.2.2 с портом, ну допустим 8080, белого ip там нет. Из локалки ЦО я без проблем захожу на этот веб сервер. Мне нужно открыть порт в ЦО и пробросить его на сервер филиала. И вот что-то не получается.
Что сделал:
Создал правило firewall. Chain: input, Protocol: 6 (tcp), Dst. Port: 8080, Action: accept
Правило NAT. Chain: dstnat, Protocol: 6 (tcp), Dst. Port: 8080, In. Interface: pppoe-out1, Action: netmap, To Addresses: 192.168.2.2, To Ports: 8080.

Share this post


Link to post
Share on other sites

Так не получится.

Корень зла в том, что, допустим, пробует зайти к вам Гугль с адреса 8.8.8.8.

Он присылает пакет на на белый ip  ЦО, там его перенаправляют на 192.168.2.2 путём подмены DST адреса. Был "белый ip", стал 192.168.2.2

Сервер, получив пакет от 8.8.8.8 на свой адрес 192.168.2.2 отвечает на него. Куда он отправит свой ответ? На 8.8.8.8. Это не в его подсети. Он отправит это на свой default gw. Т.е. маршрутизатору филиала. С SRC = 192.168.2.2 и DST = 8.8.8.8

Маршрутизатор филиала немного удивится такому, но свою работу сделает. От оттранслирует SRC в то, во что там у него это должно транслироваться и отправит его в путешествие в сторону 8.8.8.8.

Гугль, получив этот пакет, удивится больше всех, ведь он спрашивал у "ip ЦО", а ответ пришёл от адреса, с которым гугль вообще дел не имел. И Гугль этот пакет закономерно откинет.

И у вас ничего не получится.

Самый простой способ  - это прокси в ЦО. При этом сервер будет общаться с прокси (и только с ним), а прокси от его имени со внешним миром.

 

Share this post


Link to post
Share on other sites

Вам на роутере в филиале надо делать правило mangle, которое исходящие пакеты от веб-сервера будет помещать в отдельный prerouting. И соответствующий маршрут в IP - Route, который будет шлюзом по-умолчанию указывать веб-серверу не шлюз подключения к Интернет в филиале, а адрес на туннеле в центральном офисе. В центральном офисе же надо делать правило src-nat NAT для адреса веб-сервера, выпускающее его во внешний мир через публичный IP в центральном офисе, и правило dst-nat для публикации порта веб-сервера.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.