Apache2 Web server позади Mikrotik?

Question

[AlexVWill]

На микротике поднят SSTP server на порте 443. Возникла идея поднять позади микротика на одной из машин web server, например на 192.168.1.15. Есть домен, и у микротика белый IP (не выделенный), к которому идет обращение по доменному имени через настройки DNS доменнного имени с CNAME mynetname.net Настроен проброс порта 80/443 на 192.168.1.15 правилом в NAT через netmap. Это все работает, и Web сервер виден, но лишь при отключении SSTP сервера. По сути работает лишь что-то одно, вместе никак, что в общем то логично, т.к. микротик не понимает какие пакеты предназначены какому серверу, SSTP или Web.
Вопрос - как бы из подружить, чтобы пакеты к SSTP серверу обрабатывал сам микротик, а HTTPS транзитом передавал на web? Есть ли вариант настройки такой маршрутизации? Да, я понимаю, что это задача реверс-прокси, но может у кого то есть идея как это реализовать через маршрут?
443 надо сохранить в обеих случаях, в этом проблема.

Comments

[Valentin Barbolin]

https://ex.uz/2021/03/mikrotik-sstp-i-veb-server-n...

[Ziptar]

AlexVWill, виндовым клиентам можно для сстп пре-инит скрипт запихнуть в подключение через CMAK, который сам будет стучаться к серверу перед подключением (единожды), хотя схему по ссылке придётся докрутить, чтобы адрес клиента оставался в списке, пока активно подключение

[d-stream]

AlexVWill, ну по-идее раз sni - то ничего не мешает разрулить на уровне:

sstp.mydomain - sstp
web.mydomain - web

Answer 1

[Юрий MikroTik]

1. Проброс делается не через netmap, а через dst-nat
2. Покупай второй ip, через обратный прокси sstp не разрулить

Comments

[AlexVWill]

1. А какая разница? Работает же.
2. Понятно...

[Юрий MikroTik]

AlexVWill, netmap оперирует сетями. Как минимум разница в оптимизации процесса.

[Ziptar]

AlexVWill, netmap для отдельного хоста можно использовать, когда надо прокинуть весь трафик 1:1 не заморачиваясь, а это редкие ситуации, а так он вообще транслирует сеть в сеть.

Работает же.

Для проброса пары портов - dstnat, ибо не следует множить сущности сверх необходимого - не к добру (и безопасности) это.

Что касается прокси - если есть варик заменить sstp на openconnect, то последний, на сколько я знаю, можно через прокси разрулить

Answer 2

[pilligrimm]

Как вариант, SSTP перенести на другой порт

Answer 3

[Gynaecologist]

Можно попробовать так:

Нужно заносить те IP источников, которые предварительно постучались на определенный порт микротика в какой-нибудь AddressList, пребывание в этом листе должно быть временным, например, пару часов.

Потом настраиваете правила Firewall в соответствующих разделах - для Источников, находящихся в этом AddressList - действие Accept на микротик, а для отсутствующих в этом листе - правило dst-nat на 192.168.1.15

Теперь, если просто извне обратиться на микрот, отработает ваш апач, но если предварительно пощупать порт (например, telnet mynetname.net 5555) вы будете попадать на SSTP