Как завернуть запрос с внешнего интерфейса в тунель на внутренний Web сервер?

Question

[Антон]

С хоста 192.168.0.8 делаем запрос на 41.42.42.42:80 который должен прилететь на Web сервер 10.10.0.7:80 через L2tp туннель между микротиками. Подскажи что на микротах прописать ?

Answer 1

[Антон]

Похоже веб сервер получив запрос отвечает внешнему клиенту через шлюз по умолчанию а не через туннель. Как заставить микрот 10.255.4.2 ответы веб сервера завернуть туда откуда пришли, т.е. в тунель при этом что бы сервер имел возможность обращаться в интернет не через тунель а через 89.99.99.99?
Ответ добавить правило:

/ip firewall mangle
add action=route chain=prerouting dst-address-list=clients in-interface=bridge1 passthrough=yes protocol=tcp route-dst=10.255.4.1 src-address=10.10.0.248

Answer 2

[Obsession]

для начала надо будет прописать маршрут, что-бы первый микротик узнал о том что за L2TP интерфейсом есть какие-то адреса, ну и второе это правило в фаирволе - натом редиректить запрос на конечный хост.
выйдет чот типа этого:

ip route add dst-address=10.10.0.7 gateway=10.255.4.2
ip firewall nat add chain=dstnat action=dst-nat protocol=tcp port=80 to-addresses=10.10.0.7 to-ports=80

и да прибудет с вами счастье
З.Ы.
если специфично, то в правиле ната, укажите ещё интерфейс с которого всё приходит и адрес, обращения на который натировать.

Comments

[Антон]

Прописал на 1-ом микроте dst-nat и маршрут до 10.10.0.7 На 2-ом (ip
10.255.4.2) прописал dst-nat. Но запрос не приходит на Web сервер

[Антон]

Возможно WEB сервер отвечает на запрос не через туннель, а через default gateway и соответственно ответ теряется. Как завернуть ответ в туннель?

[Obsession]

tosick4: конфиг в студию, результаты трассы тоже бы

[Антон]

На микроте (10.255.4.1):
chain=dstnat action=dst-nat to-addresses=10.10.0.7 to-ports=80 protocol=tcp in-interface=ether1 dst-port=80 log=no
/tool traceroute 10.10.0.7
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 10.255.4.2 0% 8 4.3ms 4.3 4.1 4.6
2 10.10.0.7 0% 8 4.1ms 5 4 10.1
На микроте (10.255.4.2):
chain=dstnat action=dst-nat to-addresses=10.10.0.7 to-ports=80 protocol=tcp in-interface=all-ppp dst-port=80 log=no

[Obsession]

tosick4: на втором проброс лишний

[Антон]

Obsession: Убрал - не работает. При этом трасерт проходит:
На микроте (10.255.4.1):
/tool traceroute 10.10.0.7
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 10.255.4.2 0% 3 4.2ms 4.3 4.2 4.3
2 10.10.0.7 0% 2 4.5ms 4.5 4.5 4.5

[Obsession]

а на самом серваке порт открыт?
форварды нигде не перекрыты?
зайти на второй микротик по адресу из сети 10.10.0.0/... можно?
может маршрут не указан на сервере?

[Антон]

Obsession: Порт открыт и telnet с обоих микротов на Web сервер проходит:
/system telnet 10.10.0.7 80
Trying 10.10.0.7...
Connected to 10.10.0.7.
Escape character is '^]'.

Фаервол отключил на время настройки.
из сети 10.10.0.0/24 вижу оба микрота
С Web сервера во вне все идет через дефолтовый маршрут:
netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.10.0.1 0.0.0.0 UG 0 0 0 enp4s0
где 10.10.0.1 внутренний адрес микротика

[Obsession]

я же говорю, полный конфиг бы.
ладно.
сеть через которую ходить пакетик должен натится? напишите src правило на первом тике, и попробуй трасернуть адрес(домен сайта)
UPD
вспомнил, есть у меня похожий случай, проброс не требовался, сейчас подниму, скину все изменения.

[Obsession]

Короче у меня решено по другому, через EoIP тунель, он просто пробриджован между сетями, от L2TP отказались. А там по тунелю и OSPF гуляет и другие плюшки, так что прям сейчас не подскажу. доберусь до терминалов попробую симулировать вашу ситуацию.

[Антон]

Конфиг простой. 1-ом микроте dst-nat и маршрут до web-сервера, на 2-ом вообще ничего. Все просто, но не работает, а значит чего-то не хватает.

[Антон]

Подскажите кто-нибудь, куда копать?