Jump to content
Калькуляторы

Помогите пробросит порты через ipsec

Reply to this topic

Jim1024   

Jim1024
Posted

Прошу помощи. Второй день борюсь, а побороть, никак не получается. Гуру сжальтесь wink.gif

Есть два маршрутизатора mikrotik под именами A и B. Маршрутизатор А имеет внутреннюю сеть 192.168.170.0/24 и внешний ip 185.30.х.х. Маршрутизатор В имеет внутреннюю сеть 192.168.171.0/24 и внешний ip 45.159.х.х. Между маршрутизаторами существует туннель ipsec. он работает исправно. Компьютеры из сети 192.168.170.0/24 видят 192.168.171.0/24 и на оборот. Веб сервер c ip 192.168.170.17 и открытыми портами http=8088 https=443 доступен с обоих внутренних сетей. Нужно пробросить порты 80 и 443 до внутреннего сервера 192.168.170.17 перенаправив порты 80 на 8088 а 443 в 4444 при обращении к белому ip 45.159.х.х маршрутизатора B.

A
WAN: 185.30.x.x
LAN:192.168.170.0/24
WebServer: 192.168.170.17

B
WAN:45.159.х.x
LAN:192.168.171.0/24

0.0.0.0 -> 45.159.x.x (80,443)->ipsec (8088,4444)->192.168.170.17(8088,4444)


Что сделано.

На маршрутизаторе B добавлены следующие правила:

chain=dstnat action=dst-nat to-addresses=192.168.170.17 to-ports=8088 protocol=tcp dst-address=45.159.x.x dst-port=80 log=yes log-prefix="8088"

chain=dstnat action=dst-nat to-addresses=192.168.170.17 to-ports=4444 protocol=tcp dst-address=45.159.x.x dst-port=443 log=yes log-prefix="4444"

chain=srcnat action=src-nat to-addresses=192.168.171.1 protocol=tcp dst-address=192.168.170.17 log=yes log-prefix="src"


В логах маршрутизатора B Видно следующее:

15:32:15 firewall,info 8088 dstnat: in:ether1 out: (unknown 0), src-mac 0a:9b:8c:7d:6e:5f, proto TCP (SYN), 185.30.*.*:60612->45.159.*.*:80, len 48
15:32:15 firewall,info src srcnat: in: (unknown 0) out:ether1, src-mac 0a:9b:8c:7d:6e:5f, proto TCP (SYN), 185.30.*.*:60612->192.168.170.17:8088, NAT 185.30.*.*:60612->(45.159.*.*:80->192.168.170.17:8088), len 48

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted

Чтобы это работало, у веб-сервера 192.168.170.17 ВЕСЬ трафик в Интернет должен идти в маршрутизатор B, через правило mangle prerouting или через правило routing rule на маршрутизаторе А

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы