Настроена головная и филиальная сеть из роутеров Микротиков, состоящая из одного головного Микротика (допустим, его белый IP адрес 1.2.3.4) и ряда других филиальных Микротиков.
У каждого филиального Микротика также свой белый IP. Допустим, у филиала №1 белый IP 1.2.3.11, у филиала №2 белый IP 1.2.3.22 и т.д.
Схема стандартная, настроена по типа «Звезда», т. е. в середине схемы находится головной 1.2.3.4, там же там настроен l2tp/IPsec сервер с VPN-подсетью 192.168.50.1, на каждом филиальном настроен l2tp/IPsec клиент с адресом 192.168.50.2, на втором филиале 192.168.50.3 и т.д.
Соот-но, за каждым Микротиком расположена своя подсеть (192.168.3x.x) с пользователями. Все необходимые подсети видят друг друга нормально.
Задача:
Сейчас стоит вопрос интеграции с одним из приложением стороннего разработчика. К этому приложению должны получить доступ только несколько ПК с каждой подсети (головного и филиальных). Например, IP у ПК первого филиала 192.18.31.10, с него и будем тестировать.
Нужно отправлять с этого филиального ПК запросы на этот сервер приложения разработчика и этот сервер должен видеть, что пришел запрос в любом случае от белого IP 1.2.3.4, т.е. от IP адреса головного Микротика.
Т.е. по требованию разработчика, их сервер приложения (допустим его белый IP 7.7.7.7) должен видеть запросы с нашей стороны только с одного белого IP адреса головного Микротика, т.е. с 1.2.3.4., вне зависимости, с филиального ПК мы работаем с этим сервером или с головного.
Для теста взял как пример 2ip.ru, на котором можно смотреть какой белый IP в реальном времени.
Вопрос:
Если просто настроить отдельный маршрут на филиальном Микротика через IP->Routes, т.е. прописать в каждом филиале:
Destination - 7.7.7.7
Gateway – 192.168.50.1
Distance -1
то при запуске проверки с ПК филиала (192.18.31.10) на 2ip.ru видно, что 2ip.ru показывает IP 1.2.3.4, т.е. головного Микротика. Вопрос на первый взгляд как бы решился, но нужно чтобы такое решение работало только для нескольких ПК каждого филиала (а не всей подсети 192.168.31.x). Пока не пойму, как настроить такую фильтрацию только по нескольким ПК каждого филиала.
Если добавить в вышеуказанном варианте в Pref.Source IP адрес 192.168.31.10, то 2ip.ru выдает белый IP филиального Микротика.
Просьба подсказать в каком направлении копать дальше. Если работать через NAT, то какое конкретное правило там настроить?
Нужно ли поднимать Proxy на Микротике головного офиса как пример?
как вариант - в фаерволе делаете мангл, добавляете IP или список IP лок ПК
там же делаете mangle для IP сервера вашего приложения
потом маркируете этот трафф прероутинг с src addreess (IP или список) dst addreess (ip приложений) action mark (значение)
далее в routes указываете что для такого то DST ip (ваш сервер приложений) такой то гетвей(видимо VPN адрес центр микротика) и ниже routing mark (совпадает с маркировкой)
Drno, да, так и есть. Т.е., независимо с какого Микротика (головной или филиальный) будет идти запрос на сервер приложений, сервер приложений должен видеть, что все запросы идут к нему от IP только головного Микротика.
osada, тогда делаете на филиальных.
чтоб была цепочка
клиент>>фил микротик(ловит запрос и отправляет его через ВПН на головной)>>головной>>сервер
правильно masquarade для VPN соединений не забудьте
Средний
Средний
