rline Posted May 13, 2023 · Report post Здравствуйте, товарищи! Помогите пожалуйста с пробросом порта. Имеется центральный офис с белым ip и локалкой 192.168.1.0 и филиал с локалкой 192.168.2.0. Между ними vpn pptp. Настроен маршрут и пакеты ходят туда сюда без проблем. В филиале стоит веб сервер 192.168.2.2 с портом, ну допустим 8080, белого ip там нет. Из локалки ЦО я без проблем захожу на этот веб сервер. Мне нужно открыть порт в ЦО и пробросить его на сервер филиала. И вот что-то не получается. Что сделал: Создал правило firewall. Chain: input, Protocol: 6 (tcp), Dst. Port: 8080, Action: accept Правило NAT. Chain: dstnat, Protocol: 6 (tcp), Dst. Port: 8080, In. Interface: pppoe-out1, Action: netmap, To Addresses: 192.168.2.2, To Ports: 8080. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rline Posted May 13, 2023 · Report post Отвечу сам себе Вот так https://bite-byte.ru/mikrotik/probros-porta-cherez-vpn-mikrotik/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted May 13, 2023 · Report post Так не получится. Корень зла в том, что, допустим, пробует зайти к вам Гугль с адреса 8.8.8.8. Он присылает пакет на на белый ip ЦО, там его перенаправляют на 192.168.2.2 путём подмены DST адреса. Был "белый ip", стал 192.168.2.2 Сервер, получив пакет от 8.8.8.8 на свой адрес 192.168.2.2 отвечает на него. Куда он отправит свой ответ? На 8.8.8.8. Это не в его подсети. Он отправит это на свой default gw. Т.е. маршрутизатору филиала. С SRC = 192.168.2.2 и DST = 8.8.8.8 Маршрутизатор филиала немного удивится такому, но свою работу сделает. От оттранслирует SRC в то, во что там у него это должно транслироваться и отправит его в путешествие в сторону 8.8.8.8. Гугль, получив этот пакет, удивится больше всех, ведь он спрашивал у "ip ЦО", а ответ пришёл от адреса, с которым гугль вообще дел не имел. И Гугль этот пакет закономерно откинет. И у вас ничего не получится. Самый простой способ - это прокси в ЦО. При этом сервер будет общаться с прокси (и только с ним), а прокси от его имени со внешним миром. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted May 13, 2023 · Report post Вам на роутере в филиале надо делать правило mangle, которое исходящие пакеты от веб-сервера будет помещать в отдельный prerouting. И соответствующий маршрут в IP - Route, который будет шлюзом по-умолчанию указывать веб-серверу не шлюз подключения к Интернет в филиале, а адрес на туннеле в центральном офисе. В центральном офисе же надо делать правило src-nat NAT для адреса веб-сервера, выпускающее его во внешний мир через публичный IP в центральном офисе, и правило dst-nat для публикации порта веб-сервера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...