VPN mikrotik и 3g модем?

Question

[bogdan_zgh]

Имеем 2 микротика оба 951. Первый (допустим будет А) подключен к провайдеру через ithernet и имеет статический ip адрес, второй (Б) подключен к интернет через 3g модем, между ними VPN туннель, сеть работает на ура, пакеты ходят, сети видны, но как пробросить 80 порт на машину (192.168.89.253) из сети маршрутизатора Б чтоб ее было видно из любой точки страны через маршрутизатор А (так как он имеет статический ip). Как правильно настроить NAT? схему прилагаю.

Comments

[bogdan_zgh]

пока не получается

Answer 1

[АртемЪ]

как пробросить 80 порт на машину (192.168.89.253) из сети маршрутизатора Б чтоб ее было видно из любой точки страны через маршрутизатор А

Чтобы ее видно было из любой точки страны, то для нужен белый адрес на маршрутизаторе А.

А прописать следующим образом - на роутере А пробрасываете 80порт на 192.168.10.2
На роутере Б пробрасываете 80порт на 192.168.89.253
Если на роутере А есть маршрут до 192.168.89.253, то можно сразу на 192.168.89.253

Answer 2

[efkot]

ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.89.253 to-ports=80 protocol=tcp in-interface="inet" dst-port=80
на маршрутизаторе "А"
вот так пробовали
где "inet" ваш инрефейс с белым IP

Comments

[bogdan_zgh]

попробовал, не получается

[efkot]

ага сам сейчас попробовал вашу схему, загвоздка в том что хост 192.168.89.253 имеет основной шлюз 192.168.89.1 а не 192.168.88.1 с которого пришел редирект.

[efkot]

как вариант дать второй ip из 192.168.88.0/24 (маску вы не уточняли) хосту 192.168.89.253 и vlan-нами добросить его до маршрутизатора "А"

[bogdan_zgh]

да я тож думаю что здесь загвозка,. я новичок не могли бы Вы поподробней описать. С меня причитается)))

[bogdan_zgh]

как дать второй Ip хосту 192.168.89.253

[efkot]

Хост на чем живёт? винда?

[bogdan_zgh]

В данный момент стоит debian, но в дальнейшем поставлю видеорегистратор, так что надо сделать маршрутизацию на роутере

Answer 3

[bogdan_zgh]

он есть

Comments

[bogdan_zgh]

не пойму как прописать

[Dmitrii]

bogdan_zgh: Вы не в НИИ Радиосвязи в Ростове работаете случайно? :)

[bogdan_zgh]

неа

Answer 4

[Павел]

На роутере A делаем dst-nat как сказали уже выше. А на втором нужно сделать цепочки в firewall -> mangle:

И в Rutes прописать маршрут до первого микротика с нужной роутинг маркой:

По идее всё. Сейчас проверил у себя такую схему, всё работает.

Comments

[efkot]

но так хост вывалится из сети 192.168.89.0/24

[bogdan_zgh]

Все сделал по Вашему примеру. Пока не получается, Правильно ли я понял в routes ставлю gateway 192.168.88.1(ip роутера А)

[Павел]

efkot: почему вывалится? Только тот трафик который пришёл с первого микротика пойдет обратно через этот маршрут.

[Павел]

bogdan_zgh: я в качестве gateway использую имя vpn соединения.

[bogdan_zgh]

/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=to_test \
new-routing-mark=test
add action=mark-routing chain=output connection-mark=to_test new-routing-mark=\
test passthrough=no
add action=mark-connection chain=prerouting in-interface=ether2-master-local \
new-connection-mark=to_test

и

/ip route
add distance=1 gateway=pptp-out1 routing-mark=test

Праввильно?

[Павел]

bogdan_zgh:

Интерфейс впн соединения нужно указать. Иначе он весь трафик пошлёт через впн. ether2-master-local - это ведь какой-то локальный? И output цепочка не нужна тут. Это я лишнее скопировал.

add action=mark-connection chain=prerouting comment=Test in-interface=test \
new-connection-mark=ToTest passthrough=no
add action=mark-routing chain=prerouting connection-mark=ToTest \
new-routing-mark=Test

[Павел]

bogdan_zgh: Кстати, возможно проще подойти с другой стороны? Можно ведь исключить из цепочки первый микротик, если провайдер на модеме выдаёт белый IP. В микротике DDNS настраивается одной галочкой в ip -> cloud. И заходить по dns-имени.

[bogdan_zgh]

изначально я и расчитывал на ip>cloud, но к сожалению на 3g он не работает, причем пробовал билайн, мегафон.

[bogdan_zgh]

Uttar Можт спишемся в скайпе, я дам доступ, поробуешь так сказать на живом))) А то уже 5 день не могу настроить. Логин в скайпе такой же как и здесь. С меня на пиво с рыбкой))))

[Павел]

bogdan_zgh: не могу найти в скайпе :) мой - uttar.bk