dopklip Posted April 13, 2013 Posted April 13, 2013 Если подобная тема была, просьба указать ссылку, а так.Есть Mikrotik.Решаем задачу, через IP:хххх по RDP из вне, зайти на компьютер во внутренней сети(192.168.0.0/24).Шлюзом у этого компьютера является внутренний адрес Mikrotik(ether2,скажем 192.168.0.1). Настройка NAT(FilterRules),проброс через порт 3389 или если уже используется, например 3392,решает поставленную задачу. Также в подсети 192.168.0.0/24 есть компьютеры, у которых шлюзом другой адрес, скажем 192.168.0.15 (прокси для другой раздачи интернет-паралельная),а также компьютеры другой подсети 192.168.10.0/24 , где шлюз не 192.168.0.1. Вопрос? Если тереоретически и практически возможность осуществить проброс порта через Mikrotik на другие компьютеры со шлюзом, отличным от Mikrotik, т.е через внешний IP по разным портам получить доступ соответственно к разным компьютерам локальной сети,или последний этого не умеет?. Спасибо. Вставить ник Quote
Saab95 Posted April 13, 2013 Posted April 13, 2013 Можно через VPN получить доступ в сеть без проброса портов, как не вариант? Вставить ник Quote
dopklip Posted April 13, 2013 Author Posted April 13, 2013 Приятно, что есть ответ. Для большинства работников с удаленным доступом, чем проще, тем лучше. Вариант с VPN, как вариант очень хороший,работает на УРА!,нет ощщущения, что ты вне локальной сети.Тут же,тем же самым RDP подключаешься к конкретному компьютеру удаленной сети. Но изначально, нужно подключить VPN, и если VPN "отвалится" или "подведет" сам компьютер, потеряется связь с удаленным компьютером. Проброс порта-одно действие, я и задал вопрос: возможно или нет, через Mikrotik. Если нет, значит нет. Вставить ник Quote
Saab95 Posted April 14, 2013 Posted April 14, 2013 То есть VPN может отвалиться, а связь через проброс портов - нет? Нужно взглянуть на функционал шире. Если удаленные сотрудники сидят в интернете, то где-то у них стоит роутер, который делает НАТ для них. Вот вместо этого роутера ставите микротик, настраиваете подключение к интернету и он работает. Так же там настраиваете L2TP соединение с тем микротиком, который установлен рядом с сервером, на который нужно доступ получать. Далее пользователи не устанавливая на своих компьютерах подключения, просто вводят серый адрес нужного сервера и подключаются. Вот и все дела. Вставить ник Quote
dopklip Posted April 14, 2013 Author Posted April 14, 2013 Спасибо еще раз за ответ.В моем посте изначально:схема для пользователя проста-не привязан к рабочему месту(дома) или на р/м, при наличии интернет, он имея учетную запись и адрес удаленного подключения, в виде 000.000.000.000:0000, к компьютеру, может получить доступ и ВСЁ. Варианты предложенные выше оптимально и надежно обеспечат удаленное подключение, они работают и лучше не придумаешь. Камнем преткновения является IP адрес шлюза удаленной машины, я практикой проверил, что или он другой или его нет вообще, по RDP через Mikrotik, подключения не произойдет. Я и хотел узнать, может ли Mikrotik в этом случае,правильно подключить удаленный компьютер.Кстати, я в интернете через поиск не встречал данный нюанс. ИМХО,скорее всего причина в RDP протоколе. Mikrotik,видимо здесь не причем, также себя проявляет и удаленный доступ через проброс порта, через прокси(Трафик инспектор). Если же способ найдется, то хорошо. А так тема закрыта. Вставить ник Quote
choks_kvv Posted June 21, 2013 Posted June 21, 2013 (edited) ИМХО,скорее всего причина в RDP протоколе. Mikrotik,видимо здесь не причем, также себя проявляет и удаленный доступ через проброс порта, через прокси(Трафик инспектор). Если же способ найдется, то хорошо. А так тема закрыта. RDP протокол тут не причем, с любым другим протоколом такая же ситуация будет. А трафик инспектор вообще не показатель, у него даже своего НАТа нет (используется Microsoft'овский). С подобной задачей справится KerioWinrouteFirewall(KerioControl) или ISA. Если рассуждения не интересны, переходите сразу к скринам :). Давайте разберемся в чем проблема. На пример у нас есть хост в интернете с адресом 1.1.1.1 микротик с внешним АЙПИ 2.2.2.2 и внутренним 192.168.0.1 и сервер РДП в локальной сети с адресом 192.168.0.111 Нам нужно подключиться с хоста 1.1.1.1 на сервер 192.168.0.111, подключаясь на 2.2.2.2:3392 (случай когда "наружу" открыт порт 3392 с пробросм на 3389 ) . В случае когда хост 192.168.0.111 использует шлюз 192.168.0.1(микротик), и на микротике проброшен порт 3392 на порт 3389 адрес 192.168.0.111 происходит следующее: пакет с хоста 1.1.1.1 послается на внешний АЙПИ микротика , пакет содержит адрес источника (АИ) 1.1.1.1 и адрес назначения (АН) 2.2.2.2 порт 3392. Пакет попадает на внешний интерфейс микротика, микротик заменяет АН на 192.168.0.111 и порт на 3389 АИ не меняется. Пакет попадет на сервер 192.168.0.111. Сервер хочет отправить ответный пакет хосту из поля АИ, т.е. хосту 1.1.1.1. Сервер 192.168.0.111 определяет, что хост 1.1.1.1 находится не в одной с ним подсети и отправляет ответный пакет на свой шлюз по-умолчанию 192.168.0.1 АИ 192.168.0.111 АН 1.1.1.1 . Микротик заменяет АИ на свой внешний 2.2.2.2 (должно быть правило разрешающее серверу 192.168.0.111 отправлять пакеты в интернет). Хост 1.1.1.1 получает ответ и сеанс связи продолжается. В случае когда хост 192.168.0.111 использует шлюз на пример 192.168.0.2(внешний адрес которого 3.3.3.3). Начальный этап происходит так же (пакет с хоста 1.1.1.1 послается на внешний АЙПИ микротика , пакет содержит адрес источника (АИ) 1.1.1.1 и адрес назначения (АН) 2.2.2.2 порт 3392. Пакет попадает на внешний интерфейс микротика, микротик заменяет АН на 192.168.0.111 и порт на 3389 АИ не меняется. Пакет попадет на сервер 192.168.0.111. Сервер хочет отправить ответный пакет хосту из поля АИ, т.е. хосту 1.1.1.1.) Сервер 192.168.0.111 определяет, что хост 1.1.1.1 находится не в одной с ним подсети и отправляет ответный пакет на свой шлюз по-умолчанию 192.168.0.2 АИ 192.168.0.111 АН 1.1.1.1 . Роутер 192.168.0.2 заменяет АИ на свой внешний 3.3.3.3 (в случае если на роутере разрешено серверу 192.168.0.111 отправлять пакеты в инет). Хост 1.1.1.1, получив даный пакет, не воспринимает его как ответ на свой запрос, скорее всего файервол его не пропуcтит вообще, т.к. запрос делался на адрес 2.2.2.2, а ответ приходит с 3.3.3.3 и сеанса связи не происходит. Если же шлюз не указан , то сервер 192.168.0.111 прото не имеет возможности отправить ответ. Решение - заменить АИ с 1.1.1.1 на адрес микротика 192.168.0.1 , так как адрес 192.168.0.1 находится в одной подсети что и 192.168.0.111, то шлюз вообще не будет использоваться. Сервер 192.168.0.111 воспринимает такой пакет, как пакет от локального хоста 192.168.0.1 и отправляет ему ответ. Далее микротик меняет АИ и АН и пакет-ответ попадает 1.1.1.1 сеанс связи происходит. Реализация из Wiki микротика " dst-nat - replaces destination address and/or port of an IP packet to values specified by to-addresses and to-ports parameters и src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters. " если коротко dst-nat - заменяет АН, src-nat - заменяет АИ как раз то, что нам нужно. Создаем в микротике два правила первое это проброс порта, замена АН Закладка General chain:dstnat protocol:tcp dst.port:3392 Закладка Action Action:dst-nat ToAddress:192.168.0.111 ToPorts:3389 второе это замена АИ на локальный адрес микротика Закладка General chain:srcnat protocol:tcp dst.address:192.168.0.111 dst.port:3389 Закладка Action Action:src-nat ToAddress:192.168.0.1 Если поле dst.address: оставить пустым, то правило станет более универсальным, т.е будет работать проброс на любой сервер с иным шлюзом или без него. Идинственным минусом в такой реализации , это то, что сервер 192.168.0.111, не может различить пакет с интернета от пакета с локалки. Но для РДП протокола считаю это не критичным. Выпуск, на пример, SMTP сервера в инет подобной схемой смерти-подобно :). Edited April 21, 2015 by choks_kvv Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.