Задать вопрос
@MrKatarsis
Доморощеный ITшник

Mikrotik, проброс порта через VPN PPTP Client?

Доброго времени суток. Уже сутки не могу настроить проброс портов из VPN соединение на локальный адрес видеорегистратора.
Что имеем Mikrotik RB951UI в вставлен Мегафон модем (в режиме Hikink) и поверх интернета подключен VPN PPTP соединение Hidme с выделенным IP.

/ip route

0 A S 0.0.0.0/0 hidme 1
1 ADS 0.0.0.0/0 10.121.192.1 0
2 ADC 10.121.192.1/32 10.123.9.119 hidme 0
3 ADS 91.105.238.11/32 192.168.199.1 0
4 ADC 192.168.100.0/24 192.168.100.1 bridge1 0
5 ADC 192.168.199.0/24 192.168.199.2 ether1 0

/ip firewall nat

0 chain=dstnat action=netmap to-addresses=192.168.100.253 to-ports=8085 protocol=tcp in-interface=hidme dst-port=8085 log=no log-prefix=""

1 chain=srcnat action=masquerade out-interface=hidme log=no log-prefix=""

/ip firewall mangle

0 D chain=forward action=change-mss new-mss=1410 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1411-65535 log=no log-prefix=""

1 D chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1361-65535 log=no log-prefix=""

2 chain=prerouting action=mark-routing new-routing-mark=hidme_vpn passthrough=yes protocol=tcp dst-address=192.168.100.253 dst-port=8085 log=no log-prefix=""

3 chain=output action=mark-routing new-routing-mark=hidme_vpn passthrough=yes protocol=tcp src-address=192.168.100.0/24 src-port=8085 log=no log-prefix=""

Фильтр ваервола пуст. Пытаюсь пробросить 8085 порт TCP. Когда захожу в IP - Service - WWW и меняю порт на 8085 то в админку роутера я попадаю через VPN Hidme - значит на стороне Hidme все работает четко.
Интернет работает через ВПН сайты открываются все ОК но вот зайти с этого внешнего IP на компьютер с адресом 192.168.100.253 не получается. Весь гугл перечитал.
  • Вопрос задан
  • 6473 просмотра
Подписаться 2 Оценить Комментировать
Решения вопроса 1
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
В dnat юзайте не dst адрес, а in имя интерфейса и вроде всё.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
vasilevkirill
@vasilevkirill
Сертифицированный тренер MikroTik TR0417
chain=dstnat action=netmap to-addresses=192.168.100.253 to-ports=8085 protocol=tcp in-interface=hidme dst port=8085

это неправильно так как action=netmap используется для сетей и не для адреса используйте dstnat

chain=prerouting action=mark-routing new-routing-mark=hidme_vpn passthrough=yes protocol=tcp dst-address=192.168.100.253 dst-port=8085 
chain=output action=mark-routing new-routing-mark=hidme_vpn passthrough=yes protocol=tcp src-address=192.168.100.0/24 src-port=8085

вы можете сами себе объяснить зачем вы маркируете трафик и что вы здесь делаете, потому что данные правила смахивает на ритуал экзорцизма =))) извините

я бы вам объяснил как надо делать, если бы вы разобрались для начало вот в этом
Ответ написан
Комментировать
@moneron89
Сертифицированный тренер Mikrotik
Согласен с предыдущим отвечающим. Мангл ни к чему. Нетмап заменить на dst-nat и почистить мангл. Если порт мапится на такой же, то в to-ports его можно не указывать. Таким образом:
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.100.253 protocol=tcp in-interface=hidme dst-port=8085

должно прекрасно работать. На всякий случай учтите, что в фаерволе этот трафик попадёт в цепочку forward, а не в input, не порежьте его. И Packet flow diagram надо знать.
Ответ написан
Комментировать
@alegzz
в видеорегистраторе шлюз по-умолчанию прописан?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы