flapflapjack
@flapflapjack
на треть я прав

Как правильно пробросить порт на Mikrotik для пользователей VPN L2TP+IPSEC?

Привет.

Не получается у меня пробросить порт на внутренние сервисы рабочей локалки для юзеров VPN.

Схема:

Рабочая сеть 192.168.0.0/24
Микротик (шлюз в интернет).

На микротике поднят L2TP IPSEC VPN.
IP Микротика в VPN - 10.10.100.1/24
Пул адресов юзеров VPN: 10.10.100.2-254

Допустим я хочу сделать так, чтобы юзер VPN с айпишником 10.10.100.101 мог по адресу 10.10.100.1:180 открыть сервис 192.168.0.3:80 из рабочей локалки.

Я делаю правило:
input src-addr=10.10.100.0/24 dst-addr=10.10.100.1 accept
В разделе NAT добавляю правило:
dstnat src-addr=10.10.100.0/24 dst-addr=10.10.100.1 dst-port=180 action=dst-nat на адрес 192.168.0.3 порт 80

Правила находятся в начале списка файрвола.
Но страница сервиса не открывается - пакеты с клиента уходят, но в ответ тишина.

Добавил так же
Accept forward from 10.10.100.0/24 to 192.168.0.0/24
Но результата это не дало.

В файрволе видно по количеству пакетов, что все три правила затрагиваются в какой-то степени, ибо число обработанных байт напротив правил растет при попытке открытия страниц.

Подскажите, что я упустил в цепочке?
  • Вопрос задан
  • 114 просмотров
Решения вопроса 1
Diman89
@Diman89
Добавьте маршруты
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Rezorf
Без добавления маршрутов "вручную" (или каким-нить топорным способом вроде RIP) здесь не обойтись. Ну или пускать весь трафик через роутер (использовать как шлюз по-умолчанию).

Всего этого геморроя можно было бы избежать, если изначально правильно планировать адресное пространство, в частности для локальной сети и VPN клиентов использовать сети из диапазона 10.0.0.0/8, например рабочая сеть 10.10.10.1/24, VPN 10.10.100.1/24 и т.п. То есть в вашем случае, просто перенастройте "локалку" и все VPN клиенты смогут подключаться без добавления маршрута и со снятой галкой "использовать шлюз по умолчанию для удаленной сети".
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы