@S10LI

Как пробросить порт через VPN туннель между двумя Mikrotik?

Есть два микротика.

Микротик 1: Статический белый WAN IP (1.1.1.1), L2TP/IPSec сервер, LAN (10.10.10.0/24)
Микротик 2: Динамический серый WAN IP (33.33.33.33), L2TP/IPSec клиент, LAN (20.20.20.0/24)

Web-сервер: IP 20.20.20.100

Соединение по VPN установлено, маршруты до сетей прописаны, локальные сети между собой взаимодействуют.

При создании на Микротик 1 правила
add action=netmap chain=dstnat dst-port=80 protocol=tcp in-interface=ppoe-out to-address=20.20.20.100

Порт пробрасывается только в том случае, если я дописываю правило
add action=masquerade chain=srcnat dst-address=20.20.20.100 dst-port=80 protocol=tcp

То есть подключиться к веб серверу можно либо клиентам одной из локальных сетей, либо внешнему клиенту, замаскированному как Микротик 1.

Как настроить без маскарада, что бы внешний клиент подключался к веб серверу напрямую через туннель?

Желательно не использвовать Микротик 1 как основной шлюз, ибо ему выделенная провайдером скорость 10Мбит/c, а Микротик 2 - 50Мбит/с.
  • Вопрос задан
  • 356 просмотров
Решения вопроса 1
@korsar182
Микротик2 не знает, что запрос клиента на веб-сервер пришел через Микротик1, потому отправляет ответ через свой шлюз по умолчанию. Решение - либо использовать маскарад, как Вы делаете, либо маркировать трафик на Микротик2 через mangle и отправлять его назад через отдельную таблицу маршрутизации.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@res2001
Developer, ex-admin
маршруты до сетей прописаны, локальные сети между собой взаимодействуют

Если это так, то локальный адрес веб сервера должен быть доступен из второй сети. Не нужно ничего пробрасывать. Все работает.
Если веб сервер не доступен, то что вы имели ввиду под этой фразой? Какой-то противоречие тут.

Проверьте маршрутизацию пакетов от веб сервера до клиента во второй сети и наоборот.
Обычно при использовании ВПН у народа возникает недопонимание, что ВПН это только 1 канал от 1 клиента к 1 серверу, что бы заработали между собой сети за клиентом и сервером, нужно просто правильно настроить маршрутизацию. Частичто с этим могут помочь настройки ВПН клиента или сервера, но не во всех случаях и не для всех реализаций ВПН. IPSec ВПН явно не из числа реализаций, которые что-то за вас будут делать.
Ответ написан
@keldar
Это простейшее подключение , но коменты убивают. нафига маскарад ? просто прописать маршрутизацию, можно статик, можно динамик. У меня в конторе динамическая, так как много подсетей.

Таблицу маршрутизации в студию на железках. И выкинуть маскарад. и на компах маршруты. Можно так же запустить tracert

Не понимаю мороки с каскарадом тем более с манглом, когда все решается маршрутами
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы