Как правильно пробросить порт на Mikrotik для пользователей VPN L2TP+IPSEC?

Question

[Талян]

Привет.

Не получается у меня пробросить порт на внутренние сервисы рабочей локалки для юзеров VPN.

Схема:

Рабочая сеть 192.168.0.0/24
Микротик (шлюз в интернет).

На микротике поднят L2TP IPSEC VPN.
IP Микротика в VPN - 10.10.100.1/24
Пул адресов юзеров VPN: 10.10.100.2-254

Допустим я хочу сделать так, чтобы юзер VPN с айпишником 10.10.100.101 мог по адресу 10.10.100.1:180 открыть сервис 192.168.0.3:80 из рабочей локалки.

Я делаю правило:
input src-addr=10.10.100.0/24 dst-addr=10.10.100.1 accept
В разделе NAT добавляю правило:
dstnat src-addr=10.10.100.0/24 dst-addr=10.10.100.1 dst-port=180 action=dst-nat на адрес 192.168.0.3 порт 80

Правила находятся в начале списка файрвола.
Но страница сервиса не открывается - пакеты с клиента уходят, но в ответ тишина.

Добавил так же
Accept forward from 10.10.100.0/24 to 192.168.0.0/24
Но результата это не дало.

В файрволе видно по количеству пакетов, что все три правила затрагиваются в какой-то степени, ибо число обработанных байт напротив правил растет при попытке открытия страниц.

Подскажите, что я упустил в цепочке?

Comments

[be52]

input не участвует в пробросе портов
непонятно вообще что вы делаете, впн клиенту роутера локальная сеть микротика должна быть доступна без пробросов
попробуй убрать src адрес из правила с пробросом
попробуй отключить все правила фаирвола

[Талян]

be52,

впн клиенту роутера локальная сеть микротика должна быть доступна без пробросов

Это вдруг откуда? L2TP никаких маршрутов не создает на клиенте.

Пробросы нужны, чтобы клиенты ломились только на один айпишник - 10.10.100.1, на разные порты.

Точно, попробую Input отключить. Возможно не отрабатывает dst-nat из-за того, что пакеты попадают в инпут до форвардинга. Спасибо

[Diman89]

Талян,
>> L2TP никаких маршрутов не создает на клиенте.
Сами и ответили на свой вопрос

[Талян]

Diman89, Мой вопрос к маршрутам вообще никакого отношения не имеет вообще-то.
Вопрос про проброс портов. это ВТОРАЯ строчка моего вопроса.

Для проброса портов маршрут в другую подсеть должен быть только на том устройстве, которое перенаправляет один порт на другой.

В моем случае VPN-сервер - это микротик, который так же смотрит в сторону 192.168.0.0/24.

Зачем мне маршрут?
Вы на роутере когда порт прокидываете во внешнюю сеть, вы же потом на клиенте просто обращаетесь к внешнему порту роутера, а не прописываете маршруты у каждого клиента в сеть 192.168..

[korsar182]

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=180 in-interface=my_super_l2tp_interface protocol=tcp to-addresses=192.168.0.3 to-ports=80

[Талян]

Diman89, блин вы же правы, ибо подсеть 192.168.0.0 не имеет доступ к 10.10.100.0.
Приду домой попробую. Извините за поспешные выводы

[Талян]

Diman89, Дмитрий, добавил правило

src-nat from 10.10.100.0/24 to 192.168.0.0/24 -j src-nat to 192.168.0.1

и все заработало. Спасибо. Отправьте ваш ответ в раздел Ответов. Я помечу решением.
Хорошего дня!

Answer 1

[Diman89]

Добавьте маршруты

Comments

[Талян]

В моём случае - подмену отправителя (src-nat).

src-nat from 10.10.100.0/24 to 192.168.0.0/24 -j src-nat to 192.168.0.1

Answer 2

[Rezorf]

Без добавления маршрутов "вручную" (или каким-нить топорным способом вроде RIP) здесь не обойтись. Ну или пускать весь трафик через роутер (использовать как шлюз по-умолчанию).

Всего этого геморроя можно было бы избежать, если изначально правильно планировать адресное пространство, в частности для локальной сети и VPN клиентов использовать сети из диапазона 10.0.0.0/8, например рабочая сеть 10.10.10.1/24, VPN 10.10.100.1/24 и т.п. То есть в вашем случае, просто перенастройте "локалку" и все VPN клиенты смогут подключаться без добавления маршрута и со снятой галкой "использовать шлюз по умолчанию для удаленной сети".

Comments

[Талян]

Про адресное пространство понятно и так, сеть мне такая досталась по наследству.

Нооо

Без добавления маршрутов "вручную" (или каким-нить топорным способом вроде RIP) здесь не обойтись.

- чавоо?

Вообще, если вы прочитаете вопрос, вы поймете что IKEv2 отправляет маршруты клиентам.

[Rezorf]

Талян, мне тоже досталась такая по наследству, ничего, перенастроил все понавозившись с костылями...

В разделе NAT добавляю правило:
dstnat src-addr=10.10.100.0/24 dst-addr=10.10.100.1 dst-port=180 action=dst-nat на адрес 192.168.0.3 порт 80

Попробуйте ниже разместить еще одно правило (думаю ответы летят в маршрут-по дефолту):

/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.0.3 src-10.10.100.0/24

Причем тут IKEv2 не понял, проясните пожалуйста.

[Талян]

Rezorf, оу, простите.

Я думал оповещение пришло с другого вопроса. Этот вопрос уже закрыт, и решение уже было отмеченным.

[Rezorf]

Талян, и Вы меня, я здесь недавно, не понял, что вопросы маркируются как "решенные".