За NATом два NASa, на которых подняты L2tp/IPSec сервера. Внутри NATa подключение к серверам проходит без проблем.
При подключении к одному серверу с поднятыми цепочками в firewall nat проброса портов chain: dstnat…. dst. port (1701, 4500, 500)……..dst-nat……to ports (1701, 4500, 500), также подключение есть.
Это в случае одного сервера
Но стоит добавить второй сервер и поменять для обоих серверов в цепочках dstnat Dst. Portы ,то соединение уже не проходит.
В случае с одним сервером в клиенте VPN указываю прямой IP и соединение устанавливается, но когда перенастраиваю порты, то соответсвенно в поле Server address указываю IP:port
В нете только натыкаюсь на решение задать NASaм DDNS…
Может что-то упускаю и нужно правило фильтрации создать?
Это неизбежно, так как нельзя сделать nat в два разных адреса по одним и тем же портам, да и как тогда их различать? Придётся или использовать один сервер для всех подключений, или разносить их на разные внешние адреса. Как вариант, можно использовать VPN, позволяющий работу по любому порту (openvpn, wireguard и многие другие это позволяют).
еще фишка в том что когда проброшены порты сквозняком, т.е. 1701 на 1701, 4500 на 4500 и 500 на 500, то клиент сам задействует те порты и той последовательности какая ему нужна, а в случае с назначением портов на какой бы я не пробовал подключатся, всегда отказ.
mr_first, всё дело в том, что если l2tp ещё можно уговорить как-то на нестандартный порт, ipsec и nat-t работают строго по портам 500 и 4500, их нельзя изменить. Если бы тут ещё было pptp, то возникла бы проблема с протоколом gre, в котором вообще нет портов - его прокинуть можно только целиком в один конкретных хост.
Простой
