Добрый день товарищи, прошу помощи.
На данный момент есть следующая конфигурация микротика:
spoiler# aug/28/2019 19:04:05 by RouterOS 6.43.13
#
# model = RB4011iGS+
/interface l2tp-client
add add-default-route=yes connect-to=XX.XX.XX.XX disabled=no ipsec-secret=XXXXXXXXXX name=l2tp-vpn password=XXXXXXX use-ipsec=yes user=XXXX
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
add address=1.1.1.10/24 interface=wan1 network=1.1.1.0
/ip firewall filter
add action=drop chain=forward comment="Deny access to internet without VPN" out-interface=wan1 src-address=192.168.1.0/24
add action=accept chain=forward comment="Allow access to internet over VPN" out-interface=l2tp-vpn src-address=192.168.1.0/24
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="Send packets through VPN to internet" out-interface=l2tp-vpn
/ip route
add distance=2 gateway=194.183.171.1
Сеть выглядит следующим образом:
Интернет со статическим (белым) айпи адресом от провайдера: 1.1.1.10 (шлюз 1.1.1.1)
IP-адрес микротика: 192.168.1.1;
Локальная сеть: 192.168.1.0/24;
Поднят L2TP/IPsec-VPN, микротик подключается как клиент и получает адрес: 192.168.12.10, шлюз 192.168.12.1;
В настройках VPN указано Add Default Route.
Настроено таким образом, что пользователи из локальной сети выходят в интернет только через VPN. Если VPN-соединение по какой-то причине разорвалось, то пользователи не выходят в интернет вообще никак. За эту реализацию отвечают следующие правила:
add action=drop chain=forward comment="Deny access to internet without VPN" out-interface=wan1 src-address=192.168.1.0/24
add action=accept chain=forward comment="Allow access to internet over VPN" out-interface=l2tp-vpn src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="Send packets through VPN to internet" out-interface=l2tp-vpn
Есть необходимость пробросить порты для доступа извне к нескольким ПК из локальной сети для подключения по RDP. Бился 4 часа, ничего не получается, в сетях слаб, простите.
Сначала хотел сделать таким образом, чтобы все пользователи из локальной сети выходили в интернет ТОЛЬКО через VPN, но при этом была возможность подключится по RDP через статический адрес провайдера (1.1.1.10). Не получилось, не знаю возможно ли вообще так сделать в такой ситуации. Пошёл другим путём.
Решил пробросить трафик с сервера где установлен VPN до компьютеров из локальной сети. То есть, указав статический IP-адрес сервера VPN в настройках подключения - попасть по RDP на машину. Не получилось.
Хотелось бы конечно пробросить напрямую через IP от провайдера, но ума не приложу, как организовать правила фаервола/nat'a/mangle.
Если подключаться через сервер VPN, то путь пакета выглядит следующим образом:
| внешний ip сервера vpn (интерфейс ens16, 2.2.2.2) | --> | шлюз l2tp (ppp0, 192.168.12.1) | --> | ip микротика от vpn (192.168.12.10) | --> и тут дальше либо через сам микротик (192.168.1.1), либо напрямую к машине с RDP (192.168.1.43).
Также, на VPN-сервере попробовал добавить маршрут, чтобы видеть напрямую машины из локальной сети:
ip route add 192.168.1.0/24 via 192.168.12.1 dev ppp0
и ещё какое-то правило настройках NAT на микротике для маскарадинга icmp (для теста) - пинги пошли, пробовал пробросить порты различным/подобным образом - не получилось.
Как юный специалист очень прошу у Вас помощи, какие всё-таки правила необходимо указать и как организовать?
Средний
Простой
