Нет доступа к web интерфейсам по l2tp, что делать?

Question

[donattion]

Есть два Mikrotik, которые соединены по l2tp + ipsec
первый Mikrotik с сетью 192.168.206.* (l2tp сервер)
второй с сетью 192.168.10.* (l2tp клиент)

есть QNAP NAS сервер с адресом 192.168.206.121 (в сети первого mikrotik)
пинг со второго mikrotik доходит до QNAP, доступ в файлах по ip тоже можно получить
проблема в следующем: невозможно получить доступ к web интерфейсу QNAP со второго Mikrotik по L2TP
так же и с web интерфейсом proxmox (везде 80 порт, http)
при этом на другой сервер под nginx свободно заходит (также 80 порт)
что делать?

Comments

[osada]

А telnet-ом на эти порты пробовали прослушать порты? Может порты открыты на самом деле, но у вас просто браузер может блокировать порты на странице.

Proxmox использует порт 8006 же, на него пробовали зайти?

Answer 1

[Юрий MikroTik]

1. Сделать явно разрешающее правило до tcp:443 на адрес QNAP
2. Если правило срабатывает и открывается - починено!
3. Если правило срабатывает и не открывается - ковырять Firewall QNAP (как мегакостыль можно сделать NAT в сторону QNAP, чтобы он думал что обращение идет с его сети.)
4. Если правило не срабатывает - искать где теряется трафик
5. Возможен косяк с MTU на туннеле.

Comments

[donattion]

Firewall отключен и на qnap и на proxmox, все равно нет доступа к web интерефейсу
указывал явное разрешение на порт 80 и 443, толку не дало

Для уточнения, пул адресов для VPN клиентов на первом микротике 192.168.8.0\24
и есть сервер под управлением nginx, который находится в той же подсети, что и PROXMOX, и при этом доступ к web имеется

[Юрий MikroTik]

donattion, надо смотреть на живую где затык

Answer 2

[AlexVWill]

IP - > Firewall -> NAT пробросить порт 80/443 для подсети 192.168.206.0/24 до 192.168.206.121

/ip firewall nat
add chain=srcnat src-address=192.168.206.0/24 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.206.121 to-ports=80 comment="HTTP Port Forwarding"

Команду по памяти писал, возможно надо поправить, но логика надеюсь ясна. Если конечно подсеть 192.168.206.* внутри VPN как я понял, а не DHCP самого микротика.

Comments

[donattion]

пул адресов для VPN клиентов на первом микротике 192.168.8.0\24
но в любом случае не помогло :(

[AlexVWill]

donattion, а если не ставить SRC и просто открыть порт для доступа извне на какое то время, то можно снаружи до сервера достучаться? Просто из инета. Попробуй сменить VPN подсесть с 192.168.0.0 на 10.100.0.0 и пробросить порт до сервера на его внутренний IP, который не VPN, а микротик даёт.

Answer 3

[Пума Тайланд]

Ну для начала сделать tracert или traceroute с обоих сторон и посмотреть где теряются пакеты, без этого просто гадание на кофейной гуще.
Потом уже посмотреть tcpdump на уже где теряется