Как пробросить порты для RDP через внешний сервер L2TP/IPsec VPN или напрямую?

Добрый день товарищи, прошу помощи.

На данный момент есть следующая конфигурация микротика:

spoiler

# aug/28/2019 19:04:05 by RouterOS 6.43.13
#
# model = RB4011iGS+

/interface l2tp-client
add add-default-route=yes connect-to=XX.XX.XX.XX disabled=no ipsec-secret=XXXXXXXXXX name=l2tp-vpn password=XXXXXXX use-ipsec=yes user=XXXX

/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
add address=1.1.1.10/24 interface=wan1 network=1.1.1.0

/ip firewall filter
add action=drop chain=forward comment="Deny access to internet without VPN" out-interface=wan1 src-address=192.168.1.0/24
add action=accept chain=forward comment="Allow access to internet over VPN" out-interface=l2tp-vpn src-address=192.168.1.0/24
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="Send packets through VPN to internet" out-interface=l2tp-vpn

/ip route
add distance=2 gateway=194.183.171.1



Сеть выглядит следующим образом:
Интернет со статическим (белым) айпи адресом от провайдера: 1.1.1.10 (шлюз 1.1.1.1)
IP-адрес микротика: 192.168.1.1;
Локальная сеть: 192.168.1.0/24;
Поднят L2TP/IPsec-VPN, микротик подключается как клиент и получает адрес: 192.168.12.10, шлюз 192.168.12.1;
В настройках VPN указано Add Default Route.

Настроено таким образом, что пользователи из локальной сети выходят в интернет только через VPN. Если VPN-соединение по какой-то причине разорвалось, то пользователи не выходят в интернет вообще никак. За эту реализацию отвечают следующие правила:
add action=drop chain=forward comment="Deny access to internet without VPN" out-interface=wan1 src-address=192.168.1.0/24
add action=accept chain=forward comment="Allow access to internet over VPN" out-interface=l2tp-vpn src-address=192.168.1.0/24

add action=masquerade chain=srcnat comment="Send packets through VPN to internet" out-interface=l2tp-vpn


Есть необходимость пробросить порты для доступа извне к нескольким ПК из локальной сети для подключения по RDP. Бился 4 часа, ничего не получается, в сетях слаб, простите.

Сначала хотел сделать таким образом, чтобы все пользователи из локальной сети выходили в интернет ТОЛЬКО через VPN, но при этом была возможность подключится по RDP через статический адрес провайдера (1.1.1.10). Не получилось, не знаю возможно ли вообще так сделать в такой ситуации. Пошёл другим путём.

Решил пробросить трафик с сервера где установлен VPN до компьютеров из локальной сети. То есть, указав статический IP-адрес сервера VPN в настройках подключения - попасть по RDP на машину. Не получилось.

Хотелось бы конечно пробросить напрямую через IP от провайдера, но ума не приложу, как организовать правила фаервола/nat'a/mangle.

Если подключаться через сервер VPN, то путь пакета выглядит следующим образом:

| внешний ip сервера vpn (интерфейс ens16, 2.2.2.2) | --> | шлюз l2tp (ppp0, 192.168.12.1) | --> | ip микротика от vpn (192.168.12.10) | --> и тут дальше либо через сам микротик (192.168.1.1), либо напрямую к машине с RDP (192.168.1.43).

Также, на VPN-сервере попробовал добавить маршрут, чтобы видеть напрямую машины из локальной сети:
ip route add 192.168.1.0/24 via 192.168.12.1 dev ppp0

и ещё какое-то правило настройках NAT на микротике для маскарадинга icmp (для теста) - пинги пошли, пробовал пробросить порты различным/подобным образом - не получилось.

Как юный специалист очень прошу у Вас помощи, какие всё-таки правила необходимо указать и как организовать?
  • Вопрос задан
  • 1146 просмотров
Решения вопроса 1
@geniuscomposervsevolodpus
Работаю с сетями ETH и PON
1) Есть ли на компьютере на котором необходимо настроить RDP - внешний БЕЛЫЙ адрес? Дело в том что так называемый статический адрес может быть ещё и серым!
2) Есть ли доступ к VPN серверу?
3) Если вопрос не терпит по времени, - напишите на info@megabit.moscow
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@Sviteneg Автор вопроса
В итоге всё решилось написанием нескольких правил в mangle и добавлением маршрутов, на удивление. Сам бы не додумался. Большое спасибо Vsevolod за оказанную помощь в настройке! Вопрос закрыт.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы