Как получить доступ к ESXi за Mikrotik WireGuard?

Question

Shady @5erdriver

Как получить доступ к ESXi за Mikrotik WireGuard?

Коллеги, добрый день!

Для удалённого администратора на Mikrotik Hex S поднят WireGuard.
После подключения к туннелю, есть доступ ко всем подсетям офиса (Vlan10-vlan40), но получить доступ к iLo и ESXi не выходит. Они находятся в vlan50, при пинге с удалённого ПК - пинг идёт только к маршрутизатору mikrotik 10.200.5.1, а к ilo 5.2 и esxi 5.3 пинга нет, доступа по 80 и 443 порту также нет. Почему так происходит, что ко всем подсетям доступ есть, а эти два хоста не выходят на связь?

Вопрос задан 4 часа назад
51 просмотр

20 комментариев

Подписаться 1 Простой 20 комментариев

Юрий MikroTik @b1ora Куратор тега MikroTik

На Vlan50 стоит шлюз?

Написано 4 часа назад
Valentin Barbolin @dronmaxman

Очевидно где-то не хватает маршрута или блокирует firewall.

Написано 4 часа назад
Shady @5erdriver Автор вопроса

Юрий MikroTik, Сам Mikrotik и есть vlan50 10.200.5.1

Написано 4 часа назад
Shady @5erdriver Автор вопроса

Valentin Barbolin, да вот как найти блокировку не понимаю..

Написано 4 часа назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Shady, явно разрешить, либо выключить drop везде

Написано 4 часа назад
Shady @5erdriver Автор вопроса

Юрий MikroTik, явно пытался в цепочке forward разрешить и конкретными ip адресами и vlan'ами, отключи все дропы тоже не проходит, пинг только до 10.200.5.1 идёт (
в логе такая строка идёт
"wg_to_esxi forward: in:vlan10 out:vlan50, connection-state:established src-mac 00:0c:29:c4:97:0a, proto TCP (ACK), 10.200.1.15:51782->10.200.5.4:443, len 40"

интересно почему WG из 10 vlan обращается к 50-му

Написано 3 часа назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Shady, адресация wg отличается от адресации в других вланах?

Написано 3 часа назад
Shady @5erdriver Автор вопроса

Юрий MikroTik, да, 10.200.10.*/24

Написано 3 часа назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Shady, NAT всё во всё не стоит? Чистая маршрутизация работает?

Написано 3 часа назад
Shady @5erdriver Автор вопроса

Юрий MikroTik, NAT без исключений настроен,

/ip firewall nat
add action=src-nat chain=srcnat dst-address=!10.200.0.0/16 out-interface-list=WAN src-address=10.200.0.0/16 to-addresses=*наш_ip*

Написано 3 часа назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Shady, wg allow лист указан?

Написано 2 часа назад
Shady @5erdriver Автор вопроса

Юрий MikroTik, это где можно посмотреть? не уверен

Написано 2 часа назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Shady, Peers Allowed Address

Написано 2 часа назад
Valentin Barbolin @dronmaxman

Shady, У тебя на компе есть маршрут в сеть ESXi?

Написано час назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Valentin Barbolin, шлюз той сети пингует, значит есть

Написано час назад
Shady @5erdriver Автор вопроса

Юрий MikroTik, настраивал по интернету Allowed IP 10.200.10.3/32 - как понял здесь указывается с каким ip хост придёт в сеть, если не верно понял или ввели в заблуждение, подскажите как правильно?
но повторюсь, ко всей сети фактически доступ есть и даже пингуется роутер этого подсети

В клиенте wg указываю 10.200.0.0/16 в allowed ips

Написано час назад
Юрий MikroTik @b1ora Куратор тега MikroTik

Shady, проверь с 0.0.0.0/0
Если пустит - сужай

Написано час назад
Valentin Barbolin @dronmaxman

Shady, В allow address на микроте лучше прописать 0.0.0.0/0 и не тра...ся.

Написано 57 минут назад
Shady @5erdriver Автор вопроса

Valentin Barbolin, так и сделал, ничего не изменилось(

Написано 43 минуты назад
Shady @5erdriver Автор вопроса

Юрий MikroTik, без результата

Написано 43 минуты назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Информационная безопасность

+2 ещё

Простой
Можно ли вывести градацию уязвимостей?
- 2 подписчика
- вчера
- 227 просмотров
3

ответа
MikroTik

Простой
Как настроить микротик для подключения к еспд ростелеком?
- 1 подписчик
- 22 февр.
- 140 просмотров
1

ответ
Компьютерные сети

+1 ещё

Средний
Настройка сети из трёх Mikrotik и коммутатора Dahua.Что нужно?
- 1 подписчик
- 21 февр.
- 193 просмотра
2

ответа
MikroTik

Средний
Как настроить доступ в локальную сеть для vpn-пользователей (l2tp ip-sec) на Mikrotik?
- 1 подписчик
- 12 февр.
- 193 просмотра
1

ответ
Компьютерные сети

+2 ещё

Средний
Как ограничить доступ к сетевой папке через VPN но разрешить при локальном подключении?
- 2 подписчика
- 12 февр.
- 2911 просмотров
3

ответа
MikroTik

+1 ещё

Средний
Какое устройство пытается подключиться к моему внешнему роутеру Микротик?
- 2 подписчика
- 07 февр.
- 393 просмотра
2

ответа
Автоматизация

+2 ещё

Средний
Как развернуть сразу несколько виртуальных машин с нужной конфигурацией на Vmware?
- 2 подписчика
- 06 февр.
- 207 просмотров
1

ответ
MikroTik

Простой
Микротик как правильно перенаправить трафик из локалки на openvpn?
- 1 подписчик
- 05 февр.
- 244 просмотра
4

ответа
Компьютерные сети

+2 ещё

Простой
Телефон не подключается к Wi-Fi без интернета, почему?
- 1 подписчик
- 05 февр.
- 2049 просмотров
6

ответов
Показать ещё Загружается…

Сетевой инженер

Inventive Retail Group • Москва

от 180 000 до 200 000 ₽

DevOps

ФильмПро (проект ВГТРК) • Москва

от 350 000 до 350 000 ₽

Маркетолог WEB 3

Wanted. • Санкт-Петербург

До 150 000 ₽

Очевидно где-то не хватает маршрута или блокирует firewall.
Юрий MikroTik, Сам Mikrotik и есть vlan50 10.200.5.1
Valentin Barbolin, да вот как найти блокировку не понимаю..
Shady, явно разрешить, либо выключить drop везде
Юрий MikroTik, явно пытался в цепочке forward разрешить и конкретными ip адресами и vlan'ами, отключи все дропы тоже не проходит, пинг только до 10.200.5.1 идёт (
в логе такая строка идёт
"wg_to_esxi forward: in:vlan10 out:vlan50, connection-state:established src-mac 00:0c:29:c4:97:0a, proto TCP (ACK), 10.200.1.15:51782->10.200.5.4:443, len 40"

интересно почему WG из 10 vlan обращается к 50-му
Shady, адресация wg отличается от адресации в других вланах?
Shady, NAT всё во всё не стоит? Чистая маршрутизация работает?
Юрий MikroTik, NAT без исключений настроен,

/ip firewall nat
add action=src-nat chain=srcnat dst-address=!10.200.0.0/16 out-interface-list=WAN src-address=10.200.0.0/16 to-addresses=*наш_ip*
Юрий MikroTik, это где можно посмотреть? не уверен
Shady, У тебя на компе есть маршрут в сеть ESXi?
Valentin Barbolin, шлюз той сети пингует, значит есть
Юрий MikroTik, настраивал по интернету Allowed IP 10.200.10.3/32 - как понял здесь указывается с каким ip хост придёт в сеть, если не верно понял или ввели в заблуждение, подскажите как правильно?
но повторюсь, ко всей сети фактически доступ есть и даже пингуется роутер этого подсети

В клиенте wg указываю 10.200.0.0/16 в allowed ips
Shady, проверь с 0.0.0.0/0
Если пустит - сужай
Shady, В allow address на микроте лучше прописать 0.0.0.0/0 и не тра...ся.
Valentin Barbolin, так и сделал, ничего не изменилось(

Как получить доступ к ESXi за Mikrotik WireGuard?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт