Как пробросить порты Mikrotik для подключения к удаленному рабочему столу?

Question

[Семен Свиридов]

Добрый день.
Задача состоит в том, чтобы получить доступ к удаленному рабочему столу на клиентской машине, которая находится за двумя роутерами Mikrotik.
Один из них выступает в роли l2tp-сервера, второй-клиент.
Что было предпринято:
1. настроено тоннельное соединение клиент-сервер
2. прописан маршрут до локальной сети за 2-м клиентским микротиком
3. проброшены порты на 2-х маршрутизаторах 3389 и 3390 для rdp.

Удаленная машина "Клиент win10" успешно пингуется от "Клиента MacOS". При попытке подключиться удаленно - ошибка о невозможности подключится к удаленному компьютеру, поскольку он не подключен к интернету.

Вижу, что пакеты какие-то уходят и попадают в созданные правила проброса на обеих микротиках. Думаю, что проблема в том, что путь в одну сторону работает, а вот в обратную - нет. Ниже приведена схема и список созданных правил. Заранее спасибо.

Проброс на сервере
chain=dstnat action=netmap to-addresses=192.168.7.250 protocol=tcp
dst-address=192.168.88.9 port=3389-3390 log=no log-prefix=""

Маршрут на сервере
dst-address=192.168.88.9/32 gateway=192.168.7.250
gateway-status=192.168.7.250 reachable distance=1 scope=30
target-scope=10

Проброс на l2tp клиенте
chain=dstnat action=netmap to-addresses=192.168.88.9 protocol=tcp
dst-address=192.168.7.250 port=3389-3390 log=no log-prefix=""

Comments

[akelsey]

жесть то какая. почему нельзя в одном из офисов поменять подсеть на 192.168.89.0/24 и настроить нормальную маршрутизацию. Или уж тогда соединить микротики через EoIP, что б бродкаст ходил.

[Семен Свиридов]

Можно поменять. "Бродкаст ходил" - немного не понял.

[akelsey]

Семен Свиридов: ниже там уже вам отвечают, что у вас одинаковые подсети, с одной маской, в микротике есть возможность прозрачно объёдинить две одинаковых подсети что бы на arp запрос отвечали все машины (т.е. они будут думать что находятся в одном броадкаст домене, тогда не нужна будет маршрутизация и пробросы, с точки зрения разнесенных компьютеров им будет казаться что они находятся в одной подсети)
Копать в сторону EoIP

[akelsey]

wiki.mikrotik.com/wiki/Russian/%D0%9F%D0%BE%D1%81%...

[Семен Свиридов]

спасибо большое.

Answer 1

[Кирилл Васильев]

Так как у вас одинаковые сети в назначениях без подмены адреса этого не сделать.
вам необходимо будет подменять целую сеть same и netmap
где same - это src-nat на сеть (не на IP а на целую сеть)
и netmap - это dst-nat на сеть (не на IP а на целую сеть)
выглядеть это будет следующим образом
клиент стучится на 192.168.89.NNN/24 - где NNN последний октет адреса вашего сервера
клиента адрес подменяется адресом 192.168.90.NNN/24 - где NNN последний октет адреса вашего клиента
соответствено сервер обарщаеться к сети 192.168.90.0/24 а клиент 192.168.89.0/24
собирался по этой теме писать статью на хабр

Comments

[Семен Свиридов]

да. спасибо большое. я, в принципе об этом и спрашивал. С удовольствием прочту вашу статью.

Answer 2

[alegzz]

1. Маршрут на сервере бесполезен, хосты в одной сети не идут через шлюз
2. Маскарадинг включён?
3.проброс на сервере кривой, см п1

Comments

[Семен Свиридов]

Маскарадинг включен.
Спасибо за советы.

[alegzz]

Соответственно dst-address на сервере - адрес сервера, маршрут удалить, обращаться по ip адресу сервера или сменить сеть и настроить маршрутизаци, без nat

[Семен Свиридов]

не пойму почему dst-address на сервере - адрес сервера? Мне вроде как надо бы на лок. машину стучаться. на 192.168.88.9 которая находится за сервером и за вторым микротиком...

[alegzz]

https://habrahabr.ru/post/129664/