Как получить доступ к ESXI через mikrotik?

Question

[kukuruku11]

Доброго времени суток! Помогите разобраться с проблемой. Имеется Mikrotik с белым ip 2.2.2.2, за ним находится сервер с гипервизором esxi с локальным ip 192.168.88.249. Хочу достучаться до сервера пока по вебу на порты 80, 443, но настройка файрвола и фильтров ни к чему не привела. Подсткажите, пожалуйста, чего я не учел.

Ниже настройка НАТ (пробросил порты 80, 443)

[root@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-wan

1 ;;; esxi
chain=dstnat action=dst-nat to-addresses=192.168.88.249 to-ports=80 protocol=tcp dst-address=2.2.2.2 in-interface=ether1-wan dst-port=80

2 ;;; esxi_https
chain=dstnat action=dst-nat to-addresses=192.168.88.249 to-ports=443 protocol=tcp dst-address=2.2.2.2 in-interface=ether1-wan dst-port=443

Фильтры (разрешил проходящий трафик по портам 80, 443 и перенес правила повыше, 2 и 3 в списке):

[root@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp

1 ;;; default configuration
chain=input action=accept connection-state=established

2 chain=forward action=accept protocol=tcp dst-port=80

3 chain=forward action=accept protocol=tcp dst-port=443

4 ;;; default configuration
chain=input action=accept connection-state=related

5 ;;; default configuration
chain=input action=accept in-interface=ether1-wan

6 ;;; default configuration
chain=forward action=accept connection-state=established

7 ;;; default configuration
chain=forward action=accept connection-state=related

8 ;;; default configuration
chain=forward action=drop connection-state=invalid

9 chain=forward action=accept out-interface=ether1-wan

После настроек соотвественно пропал доступ к роутеру по вебу, так как отдал 80 порт на гипервизор. Однако, доступ к гипервизору так и не появился

Answer 1

[kolupalkin]

зайдите в конфигурация , настройка фаервола и там видно какие порты вам нужны
443 902 для управления VMware vSphere Client

Comments

[kukuruku11]

да, на порты 443, 902 и 903 тоже создал правила, но они нужны, как вы уже отметили для работы через клиент. на них тоже не пропускает траффик.
я же для начала просто хочу увидеть вебстраницу гипервизора по своему удаленному адресу ,а потом копать дальше

Answer 2

[LESHIY_ODESSA]

/ip firewall nat
add action=netmap chain=dstnat dst-port=80 protocol=tcp to-addresses=192.168.88.249 to-ports=80
add action=netmap chain=dstnat dst-port=443 protocol=tcp to-addresses=192.168.88.249 to-ports=443

ТО есть исключите in-interface и используйте netmap.

Если не сработает, то что не так ESXI.

В микротике так же можно включить UPnP.

Comments

[Владимир Кивва]

Человек всё верно говорит, автор, сделайте как написано.

Answer 3

[Владимир Кивва]

Хоть один порт с этого микротика ранее пробрасывали корректно? Подозреваю, что неверно конфигурируете, через netmap попробуйте, 443-й и 80-й отключите в сервисах микротика, или переназначьте Попробуйте вместо 80-го попробовать любой сверху, для надёжности.

Comments

[kukuruku11]

порт пробрасываю первый раз, другие порты для проброса пробовал, про нетмап не понял ответа.

Answer 4

[ASPI]

ip -> services отключены ли www и www-ssl

Comments

[kukuruku11]

я их перевел на другие порты, этого достаточно?

Answer 5

[kukuruku11]

Готов заплатить за потраченное время тому, кто поможет разобраться с настройкой и расскажет, как получить доступ извне на ESXI хосты через микротик.

попытка достучаться к гипервизору по 80 порту, это задание минимум. просто потренироваться в пробрасывании портов и посмотреть как работает гипервизор за микротиком.

в итоге мне нужны порты для работы клиента гипервизора и доступ к отдельным виртуальным серверам по своим портам.
по схеме: МТ --- ESXI --- VPS1(port1), VPS2(port2) .... VPSx(portx). На все есть один белый ip
Возможно ли такое вообще?

Почта для связи cpkiov@gmail.com

Comments

[Клёвый Админ]

привет, пиши в скайп.

[cckfnn]

виртуальные сервера получат свои ip в подсети, к ним аналогично нужно будет пробросить нужные порты. Если внешний адрес один - тогда придется назначать нестандартные порты для доступа, если внешних адресов несколько - можно на каждый привязать проброс с каждой машины. Если нужна помощь - пиши cckfnn@gmail.com

[Владимир Кивва]

то же самое, скайп по нику

Answer 6

[MrSource]

Приветствую! kukuruku11 получилось получить доступ к ESXI? Прошу поделиться настройками.