Проброс порта на клиента L2TP в Mikrotik, как настроить?

Question

[AndrewHodyrev]

Есть два роутера. Mikrotik:
1. Облачный CHR,
Белый ip 1.1.1.1
vpn l2tp сервер 172.16.10.1
Внутренняя сеть 10.10.100.0/24
2. Домашний роутер на 4G
модеме,
клиентт vpn 172.16.10.13
Внутренняя сеть 192.168.50.0/24
Имеется в сети NAS 192.168.50.111

Нужно стучаться в 1.1.1.1:5000 и попадать на NAS.
Сети друг друга видят, настроена маршрутизация.. (если подключиться к vpn другим клиентом на 50.111 попадаешь.

Как настроить правильный проброс?

Answer 1

[Drno]

На облачном проброс портов - входящий - Ваш IP внешний(интерфейс) >>> dst-nat vpn адрес домашнего роутера
На домашнем - входящий - vpn адрес облачного >>> адрес NAS в локальной сети

На микротике в фаерволле не забудьте разрешить траффик по VPN в обе стороны. Простейший вариант сделать правило masquarade (как для WAN) и указать адреса\интерфейс VPN)

Comments

[Raain]

Добрый день, возник идентичный вопрос, пытаюсь настроить уже 2-й день, видимо глаз замылился и сам себя запутал.

Можете написать пример конфига, о котором Вы пишете, с использованием адресации, из основного вопроса?

Также Вы пишете:
"
На микротике в фаерволле не забудьте разрешить траффик по VPN в обе стороны. Простейший вариант сделать правило masquarade (как для WAN) и указать адреса\интерфейс VPN)
"
Это надо делать на 2-х роутерах (в моем случае с двух сторон микротики стоят), или только на том, который имеет внешний ip?

[Drno]

Raain, при пробросе - только на 1м
если ходите ходить по ip адресам локалок, которые ЗА ВПН, тогда на обоих

[Raain]

Drno, на пальцах видимо плохо понимаю, конфиг должен быть такой?

Роутер с внешним ip:

/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=55558 in-interface-list=\
Wan protocol=tcp to-addresses=10.50.0.100 to-ports=80
add action=masquerade chain=srcnat disabled=yes dst-address-list=CamsStah \
out-interface=L2tpStah

Роутер с серым ip:

Дополнительно ничего не сделано, есть правило маскарадинга для входящего интерфейса, настроен l2tp клиент и маршрутизация между сетями, трафик внутри ходит без проблем

Т.е. при этой схеме у меня в голове примерно такая логика:

В адрес листе ограничил список маскаридинга только теми адресами, куда будет проброс (пробовал добавлять отдельные хосты и подсети), интерфейс лист необходим т.к. используется несколько провайдеров.
ввожу в браузере внешний ip роутера: порт и попадаю по l2tp туннелю на хост 10.50.0.100 80-й порт, например, 1.1.1.1:55558

Казалось бы да, а вот нет.. При такой конфигурации не работает, может что-то добавить?

p.s.

Пока писал, немного начало доходить, что Ваша фраза:

"
если ходите ходить по ip адресам локалок, которые ЗА ВПН, тогда на обоих
"

Как раз относится к моему случаю, т.е. вероятно, что-то еще нужно добавить на роутере с серым ip?

[Drno]

Raain, в filter rules - разрешить входящий трафф по l2tp
у меня разрешен для всех...
add action=accept chain=input in-interface=all-ppp

Далее классический dst-nat.
На мейне - проброс на vpn адрес, на втором - проброс уже до нужного локального IP.

ip>routes - прописаны маршруты, типа к такому то IP, через такой то шлюз
add comment=MUZIK distance=1 dst-address=172.16.100.0/24 gateway=172.16.2.1