Jump to content

Помогите пробросит порты через ipsec

Jim1024
 Share

Recommended Posts

Jim1024

Jim1024

Posted
Posted

Прошу помощи. Второй день борюсь, а побороть, никак не получается. Гуру сжальтесь wink.gif

Есть два маршрутизатора mikrotik под именами A и B. Маршрутизатор А имеет внутреннюю сеть 192.168.170.0/24 и внешний ip 185.30.х.х. Маршрутизатор В имеет внутреннюю сеть 192.168.171.0/24 и внешний ip 45.159.х.х. Между маршрутизаторами существует туннель ipsec. он работает исправно. Компьютеры из сети 192.168.170.0/24 видят 192.168.171.0/24 и на оборот. Веб сервер c ip 192.168.170.17 и открытыми портами http=8088 https=443 доступен с обоих внутренних сетей. Нужно пробросить порты 80 и 443 до внутреннего сервера 192.168.170.17 перенаправив порты 80 на 8088 а 443 в 4444 при обращении к белому ip 45.159.х.х маршрутизатора B.

A
WAN: 185.30.x.x
LAN:192.168.170.0/24
WebServer: 192.168.170.17

B
WAN:45.159.х.x
LAN:192.168.171.0/24

0.0.0.0 -> 45.159.x.x (80,443)->ipsec (8088,4444)->192.168.170.17(8088,4444)


Что сделано.

На маршрутизаторе B добавлены следующие правила:

chain=dstnat action=dst-nat to-addresses=192.168.170.17 to-ports=8088 protocol=tcp dst-address=45.159.x.x dst-port=80 log=yes log-prefix="8088"

chain=dstnat action=dst-nat to-addresses=192.168.170.17 to-ports=4444 protocol=tcp dst-address=45.159.x.x dst-port=443 log=yes log-prefix="4444"

chain=srcnat action=src-nat to-addresses=192.168.171.1 protocol=tcp dst-address=192.168.170.17 log=yes log-prefix="src"


В логах маршрутизатора B Видно следующее:

15:32:15 firewall,info 8088 dstnat: in:ether1 out: (unknown 0), src-mac 0a:9b:8c:7d:6e:5f, proto TCP (SYN), 185.30.*.*:60612->45.159.*.*:80, len 48
15:32:15 firewall,info src srcnat: in: (unknown 0) out:ether1, src-mac 0a:9b:8c:7d:6e:5f, proto TCP (SYN), 185.30.*.*:60612->192.168.170.17:8088, NAT 185.30.*.*:60612->(45.159.*.*:80->192.168.170.17:8088), len 48

jffulcrum

jffulcrum

Posted
Posted

Чтобы это работало, у веб-сервера 192.168.170.17 ВЕСЬ трафик в Интернет должен идти в маршрутизатор B, через правило mangle prerouting или через правило routing rule на маршрутизаторе А

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.