[zubastik3650]

Подскажите как организовать доступ к RB951G 2HnD который находится в интернете через модемное соединение. Модем мегафон E367.

Есть удаленный узел тоже с Mikrotik роутером и внешним IP.

Будет ли работать такой вариант или что-то аналогичное: Микротик с модемом устанавливает VPN соединение с удаленным узлом у которого есть внешний IP. На удаленном узле настраивается перенаправление портов на IP адрес VPN соединения удаленного роутера?

[Saab95]

Будет. Вот 2 инструкции:

 

http://www.lanmart.ru/blogs/how-to-become-isp/

http://www.lanmart.ru/blogs/review-mikrotik-rb951g-2hnd/

 

По первой настраиваете на микротике с белым IP сервер L2TP. Ищите раздел про настройку секретов и профилей, создаете профиль для удаленного микротика, ограничение скорости не указываете, PPPoE сервер не делаете, а на первой вкладке раздела PPP выбираете вверху кнопку L2TP и ставите галочку и выбираете профиль, точно так же делаете и для PPTP сервера, вдруг через мегафон L2TP не пройдет.

 

По второй настраиваете PPP соединение на удаленном роутере. Сначала пробуете L2TP-Client, указываете логин и пароль, адрес сервера (профили трогать не надо), если не подключается, то создаете PPTP-Client и пробуете с ним. Как подключится вы сможете пинговать этот роутер с главного.

 

Далее вам нужно на удаленном прописать маршрут на ваши сети, что бы вы могли на него удаленно попадать из них. Допустим на главном микротике используется сеть 10.0.0.0/16, заходите в IP->Routes и добавляете, 10.0.0.0/16 и в качество адреса шлюза либо IP адрес, который в статусе соединения в адресе сервера указан, либо интерфейс pptp-client или l2tp-client. После этого сможете заходить на оборудование. Никакое перенаправление портов не нужно.

 

Хотя если вам интересно сделать именно через проброс, то можно без прописывания маршрутов. В меню IP-Firewall на главном в разделе NAT создаете новое правило, где вверху dst-nat, dst-port например 1000, на вкладке action выбираете netmap и указываете адрес вашего удаленного маршрутизатора по впн и порт на который перенаправлять, например 80 на веб или 8291 на винбокс.

[zubastik3650]

спасибо, буду пробовать настроить. В идеале хотел бы подсоединяться из третьей точки через интернет к главному роутеру с внешним ip:номер порта и попадать на модемное соединение и через него на компьютер внутри локальной сети модема. наверное переадресацию портов нужно в обоих роутерах настраивать?

[endryww]

можно воспользоваться NOIP http://wiki.mikrotik.com/wiki/Dynamic_DNS_Update_Script_for_No-IP_DNS вполне нормально работает

[zubastik3650]

Будет. Вот 2 инструкции:

 

http://www.lanmart.ru/blogs/how-to-become-isp/

http://www.lanmart.ru/blogs/review-mikrotik-rb951g-2hnd/

 

По первой настраиваете на микротике с белым IP сервер L2TP. Ищите раздел про настройку секретов и профилей, создаете профиль для удаленного микротика, ограничение скорости не указываете, PPPoE сервер не делаете, а на первой вкладке раздела PPP выбираете вверху кнопку L2TP и ставите галочку и выбираете профиль, точно так же делаете и для PPTP сервера, вдруг через мегафон L2TP не пройдет.

 

По второй настраиваете PPP соединение на удаленном роутере. Сначала пробуете L2TP-Client, указываете логин и пароль, адрес сервера (профили трогать не надо), если не подключается, то создаете PPTP-Client и пробуете с ним. Как подключится вы сможете пинговать этот роутер с главного.

 

Далее вам нужно на удаленном прописать маршрут на ваши сети, что бы вы могли на него удаленно попадать из них. Допустим на главном микротике используется сеть 10.0.0.0/16, заходите в IP->Routes и добавляете, 10.0.0.0/16 и в качество адреса шлюза либо IP адрес, который в статусе соединения в адресе сервера указан, либо интерфейс pptp-client или l2tp-client. После этого сможете заходить на оборудование. Никакое перенаправление портов не нужно.

 

Хотя если вам интересно сделать именно через проброс, то можно без прописывания маршрутов. В меню IP-Firewall на главном в разделе NAT создаете новое правило, где вверху dst-nat, dst-port например 1000, на вкладке action выбираете netmap и указываете адрес вашего удаленного маршрутизатора по впн и порт на который перенаправлять, например 80 на веб или 8291 на винбокс.

 

PPTP и L2TP не заработали - наверное у провайдера порты заблокированы на сервере с внешним IP. Попробовал SSTP - соединение установилось - в обе стороны пингуется. Чем плох/хорош SSTP в моем случае?

[zubastik3650]

Текущее состояние:

1. с Mikrotik который имеет внешний IP установлено SSTP соединение с удаленным микротиком который выходит в интернет через 3G модем.

2. На удаленном микротике IP полученный по VPN =192.168.0.150. IP основного сервера 192.168.0.1

3. Подсеть удаленного сервера = 192.168.55.0/24

4. На даленном сервере есть запись маршрута: IP 192.168.0.1 Gateway sstp-out1

Как сделать доступ при обращении к внешнему IP центрального микротика:номер порта и попадать в подсеть удаленного на конкретный IP адрес, например 192.168.55.2

Через winbox 192.168.55.2 пингуется.

Пробовал как написано Saab95 (18 мая 2013 - 17:07), но не работает.

[Saab95]

PPTP и L2TP не заработали - наверное у провайдера порты заблокированы на сервере с внешним IP. Попробовал SSTP - соединение установилось - в обе стороны пингуется. Чем плох/хорош SSTP в моем случае?

 

У SSTP гарантированная доставка пакетов с подтверждением, задержка будет в 2 раза выше, а так ничего страшного.

 

Текущее состояние:

1. с Mikrotik который имеет внешний IP установлено SSTP соединение с удаленным микротиком который выходит в интернет через 3G модем.

2. На удаленном микротике IP полученный по VPN =192.168.0.150. IP основного сервера 192.168.0.1

3. Подсеть удаленного сервера = 192.168.55.0/24

4. На даленном сервере есть запись маршрута: IP 192.168.0.1 Gateway sstp-out1

Как сделать доступ при обращении к внешнему IP центрального микротика:номер порта и попадать в подсеть удаленного на конкретный IP адрес, например 192.168.55.2

Через winbox 192.168.55.2 пингуется.

Пробовал как написано Saab95 (18 мая 2013 - 17:07), но не работает.

 

Вам надо на локальном микротике прописать маршрут 192.168.55.0/24 на адрес 192.168.0.150. После этого сможете с центрального пинговать все устройства за удаленным.

 

Далее в IP-Firewall на вкладке NAT добавляете запись где вверху выбираете dst-nat, указываете dst-port например 1000, а на вкладке action правило netmap и адрес удаленного устройства и порт, куда перенаправлять.

[zubastik3650]

Сделал, но из интернета при обращении к центральному микротику попасть на удаленный не получается. Из сети центрального микротика возможности проверить нет. Микротики сами себя пингуют, с центрального пингуется удаленное устройство за удаленным микротиком. Из сети 192.168.55.0/24 не могу зайти на web интерфейс 192.168.0.1, хотя пинг есть. Может надо как-то прописать интерфейс VPN соединения? Правила Firewall на обоих МТ отсутствуют.

[pandel]

на удаленном устройстве 80 порт открыт? или вы через винбокс?

Изменено 29 мая, 2013 пользователем pandel

[zubastik3650]

на удаленном устройстве 80 порт открыт? или вы через винбокс?

[/quote

 

да, открыт, в локальной сети все работает. Это не микротик а IP камера? к ней и пытаюсь доступ настроить. Во всех микротиках Firewall выключены.

[zubastik3650]

Так и не получилось настроить...

При подключении к внешнему IP:порт на удаленном микротике идет небольшой скачек трафика и все. М б обратный канал надо настроить srcnat чтобы данные в нужный интерфейс попадали (у меня на удаленном 2 интерфейса - от 3G модема и VPN SSTP) на центральном тоже два - кабельный провайдер ETHERNET-1 и VPN SSTP к удаленному микротику.

[Saab95]

Нужно обращаться на адрес VPN. Если у вас за роутером расположены устройства и на них своя подсеть, то нужно вставить следующие правила, что бы трафик с них ходил через туннель.

 

/ip firewall mangle

add action=mark-routing chain=prerouting dst-address=!10.10.0.0/16 new-routing-mark=VPN src-address=10.10.0.0/16

add action=mark-routing chain=output dst-address=!10.10.0.0/16 new-routing-mark=VPN src-address=10.10.0.0/16

 

Где VPN это маршрут на серый адрес вашего VPN концентратора. Его вы предварительно создаете с маркировкой VPN. Рабочая сеть для локальных устройств должна быть 10.10.0.0/16 или указываете свою.

 

А еще лучше OSPF запустите.

[Sashaa]

у меня получилось по этой инструкции, http://wiki.mikrotik.com/wiki/Russian/%D0%9E%D0%B1%D1%8A%D0%B5%D0%B4%D0%B8%D0%BD%D1%8F%D0%B5%D0%BC_%D0%BE%D1%84%D0%B8%D1%81%D1%8B_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_Mikrotik , настроил PPTP провайдер мегафон. Нужно было удаленно просматривать видео регистратор, так же из вне имею доступ к микротикам.

Изменено 13 июня, 2013 пользователем Sashaa

[zubastik3650]

у меня получилось по этой инструкции, http://wiki.mikrotik.com/wiki/Russian/%D0%9E%D0%B1%D1%8A%D0%B5%D0%B4%D0%B8%D0%BD%D1%8F%D0%B5%D0%BC_%D0%BE%D1%84%D0%B8%D1%81%D1%8B_%D1%81_%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D1%8C%D1%8E_Mikrotik , настроил PPTP провайдер мегафон. Нужно было удаленно просматривать видео регистратор, так же из вне имею доступ к микротикам.

 

У Вас есть внешний IP на подключении к интернету? У Мегафона он динамический и трафик с ним дорогой.

[Sashaa]

1 микротик - провайдер билайн (l2tp) с внешним айпи, на нем поднят pptp сервер

2 мкротик - 3ж мегафон, vpn pptp клиент до первого микротика.

[zubastik3650]

Sasha!

У меня так тоже работает по SSTP - сети с 3G и проводным подключением соединены и соотв могу подключаться из одной сети в другую сеть где регистратор стоит. А в реале хотел бы сделать чтобы из 3-й точки (ПК в интернете) подключаться в сеть где стоит 3G модем через первую сеть с внешним IP. C последним постом SAAB95 пока не разбираля, но чувствую развязка близко.

[Saab95]

У Вас есть внешний IP на подключении к интернету? У Мегафона он динамический и трафик с ним дорогой.

 

У мегафона можно заказать постоянный белый адрес, не так и дорого.

[Sashaa]

Не знаю как у вас, у нас в регионе года 3 как нет айпишников, вот и пришлось изгаляться, но работает зараза.

А в реале хотел бы сделать чтобы из 3-й точки (ПК в интернете) подключаться в сеть где стоит 3G модем через первую сеть с внешним IP

так я из вне попадаю на 2-й микротик ( с 3ж ) без проблем, через winbox, на регистратор ( просматриваю камеры с телефона ), если я правильно понял у тебя с этим проблема?

[zubastik3650]

Sasha, да с этим проблема. не работает при обращении внешний IP:порт.

SAAB95 - IP стоит недорого, но при этом трафик считается из расчета самое дешевое 1,9руб за мб. Если 3ГБ скачать то 5700р. получится. Сам не знал и накололся на этом. как узнал эту хитрость сразу отключил внешний ip

[zubastik3650]

Sashaa Вы как NAT настраивали? переадресацию портов через netmap делали или через DST-NAT сразу на удаленный адрес видеорегистратора или сначала на IP который 3G получает через клиента PPTP, а потом на нате миикротика с 3G перенаправление портов? Удаленные сети объединяли путем IP-ROUTERS как в начале темы написано?

 

Sashaa Вы как NAT настраивали? переадресацию портов через netmap делали или через DST-NAT сразу на удаленный адрес видеорегистратора или сначала на IP который 3G получает через клиента PPTP, а потом на нате миикротика с 3G перенаправление портов? Удаленные сети объединяли путем IP-ROUTERS как в начале темы написано?

[zubastik3650]

По совету одного хорошего человека сделал следующее:

srcnat - interface: VPN (подключение к удаленному микротику) Action - mascuerade

 

и все заработало

 

сделал это на главном микротике который подключен на внешний IP адрес.

[zubastik3650]

SAAB95 - как правильно настроить firewall на центральном устройстве с внешним IP чтобы работалаа только переадресация и не было доступа из одной сети в другую, чтобы удаленные ПК не видны были?

[Saab95]

Создаете правило dst-nat, указываете dst-port = 90 например и in-interface= vpn, на вкладке action выбираете netmap и указываете локальный адрес и порт, куда переадресовывать.

[zubastik3650]

без маршрутов будет работать?

[Saab95]

без маршрутов будет работать?

 

На устройстве, для которого делается проброс, должен быть указан маршрут на адрес микротика, иначе проброс не заработает.