Как пробросить порт через VPN туннель между двумя Mikrotik?

Question

[S10LI]

Есть два микротика.

Микротик 1: Статический белый WAN IP (1.1.1.1), L2TP/IPSec сервер, LAN (10.10.10.0/24)
Микротик 2: Динамический серый WAN IP (33.33.33.33), L2TP/IPSec клиент, LAN (20.20.20.0/24)

Web-сервер: IP 20.20.20.100

Соединение по VPN установлено, маршруты до сетей прописаны, локальные сети между собой взаимодействуют.

При создании на Микротик 1 правила
add action=netmap chain=dstnat dst-port=80 protocol=tcp in-interface=ppoe-out to-address=20.20.20.100

Порт пробрасывается только в том случае, если я дописываю правило
add action=masquerade chain=srcnat dst-address=20.20.20.100 dst-port=80 protocol=tcp

То есть подключиться к веб серверу можно либо клиентам одной из локальных сетей, либо внешнему клиенту, замаскированному как Микротик 1.

Как настроить без маскарада, что бы внешний клиент подключался к веб серверу напрямую через туннель?

Желательно не использвовать Микротик 1 как основной шлюз, ибо ему выделенная провайдером скорость 10Мбит/c, а Микротик 2 - 50Мбит/с.

Answer 1

[korsar182]

Микротик2 не знает, что запрос клиента на веб-сервер пришел через Микротик1, потому отправляет ответ через свой шлюз по умолчанию. Решение - либо использовать маскарад, как Вы делаете, либо маркировать трафик на Микротик2 через mangle и отправлять его назад через отдельную таблицу маршрутизации.

Comments

[S10LI]

Я реализовал по этому принципу, но скорость отдачи сервера заметно снизилась, по сравнению с тем маскарадом, который у меня был

[res2001]

S10LI, По идее несколько таблиц маршрутизации не должны снижать производительность больше, чем маскарадинг. Но мне не приходилось это использовать на микротиках.

[korsar182]

S10LI, нет, не должны. Сбросьте вывод

/ip firewall mangle export compact 
/ip route export compact

[S10LI]

Создал таблицу в IP - Routes через интерфейс l2tp-out на адрес 0.0.0.0/0 для пакетов промаркирвоанных как l2tp-mark. Создал правило в IP - Routes - Rules для пакетов исходящих от веб сервера 20.20.20.100 на адрес 0.0.0.0/0 в table указал l2tp-mark.

Теперь ответы сервера идут по тому же пути, что и входящие запросы (через туннель на Микротик 1)

[korsar182]

S10LI, всё верно. Скорость отдачи сервера не должна измениться...

[S10LI]

korsar182, вот у меня были проблемы со скоростью пока я пробовал другой вариант.

Сделал все ту же таблицу маршрутизации с маркировкой l2tp-mark.

В IP - Firewall - Mangle добавил правило:
action=mark
routing new routing mark=l2tp-mark
chain=prerouting
src.address=20.20.20.100 (web server)

Вот тогда сервер начал отвечать по нужному пути, но исходящая его скорость (по Яндекс Интернетметру) была нулевой.

И я объяснить это могу только так:
Старый вариант подразумевал, что сервер шлет свои пакеты на основной шлюз, Микротик 2 их маркирует и обрабатывает согласно правилу и только после этого шлет на Микротик 1.

Во втором же варианте сервер шлет пакеты сразу на нужный шлюз.

[korsar182]

S10LI, не совсем, шлюз по умолчанию веб-сервера всегда участвует в обмене трафика.
Попрпобуйте немного другую маркировку

/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=l2tp-out new-connection-mark=l2tp-mark passthrough=yes
add action=mark-routing chain=prerouting connection-mark=l2tp-mark in-interface=bridge new-routing-mark=l2tp-route passthrough=yes
/ip route
add distance=1 gateway=l2tp-out routing-mark=l2tp-route

[S10LI]

korsar182,

add action=mark-routing chain=prerouting connection-mark=l2tp-mark in-interface=bridge< new-routing-mark=l2tp-route passthrough=yes

in-interface=bridge означает что весь мой бридж будет работать через шлюз
Я правильно понимаю что здесь следует указать свое значение?

[korsar182]

S10LI, нет, это относится только к пакетам с connection-mark=l2tp-mark. Без указания интерфейса правило работать не будет.

[S10LI]

korsar182, Решение хорошее, ибо сервер работает через шлюз Микротик 2, однако скорость отдачи сервера по сравнению с вариантом добавить правило в IP - Route - Rules, что бы сервер всегда пользовался шлюзом Микротик 1, снизилась почти в 2.5-3 раза...

Answer 2

[res2001]

маршруты до сетей прописаны, локальные сети между собой взаимодействуют

Если это так, то локальный адрес веб сервера должен быть доступен из второй сети. Не нужно ничего пробрасывать. Все работает.
Если веб сервер не доступен, то что вы имели ввиду под этой фразой? Какой-то противоречие тут.

Проверьте маршрутизацию пакетов от веб сервера до клиента во второй сети и наоборот.
Обычно при использовании ВПН у народа возникает недопонимание, что ВПН это только 1 канал от 1 клиента к 1 серверу, что бы заработали между собой сети за клиентом и сервером, нужно просто правильно настроить маршрутизацию. Частичто с этим могут помочь настройки ВПН клиента или сервера, но не во всех случаях и не для всех реализаций ВПН. IPSec ВПН явно не из числа реализаций, которые что-то за вас будут делать.

Comments

[S10LI]

Эта фраза означает, что я могу находиться в сети любого микротика, хоть клиента, хоть сервера, либо даже удаленно подключиться к VPN серверу через L2TP и взаимодействовать с любыми устройствами той или иной сети. Потому что на Микротик 1 прописан маршрут до сети 20.20.20.0/24 со шлюзом l2tp-in. А на Микротик 2 прописан маршрут до сети 10.10.10.0/24 со шлюзом l2tp-out

Например я физически подключен к Микротик 1 и имею адрес 10.10.10.13.
Открывая в браузере 20.20.20.100 я попадаю на Веб-сервер, который находится в сети Микротик 2 (Клиента)

[S10LI]

Однако если я пытаюсь извне стучаться на порт 80 Микротик 1 - меня не перенаправляет на порт 80 Веб-сервера

[res2001]

S10LI, Самый простой вариант - нужно сделать, чтоб веб сервер был доступен непосредственно по адресу микротик2. Т.к. у вас там динамический серый адрес, то проще всего получить у провайдера статический белый, настроить ДНС и профит.

Если это почему то не возможно, то остается ходить таким корявым маршрутом через микротик1 с маскарадом. Чтоб отказаться от маскарадинга на веб сервере вы должны на микротик2 сделать шлюзом по умолчанию ВПН адрес микротик1, но, видимо, это не совсем то что вам хочется.

[S10LI]

res2001, вы все правильно поняли

[S10LI]

res2001, а вы не можете подсказать, можно ли задать только для web сервера основным шлюзом Микротик 1? И если можно, то как это сделать правильно?

[Ивор Барханский]

S10LI, пробросьте порт 80 на веб-сервер?

[res2001]

S10LI,

можно ли задать только для web сервера основным шлюзом Микротик 1?

Можно конечно. Просто установитье в свойствах сетевого адаптера соответствующую настройку. Зависит от используемой ОС.

Answer 3

[keldar]

Это простейшее подключение , но коменты убивают. нафига маскарад ? просто прописать маршрутизацию, можно статик, можно динамик. У меня в конторе динамическая, так как много подсетей.

Таблицу маршрутизации в студию на железках. И выкинуть маскарад. и на компах маршруты. Можно так же запустить tracert

Не понимаю мороки с каскарадом тем более с манглом, когда все решается маршрутами

Comments

[S10LI]

Да все решил уже. Создал таблицу в IP - Routes через интерфейс l2tp-out на адрес 0.0.0.0/0 для пакетов промаркирвоанных как l2tp-mark. Создал правило в IP - Routes - Rules для пакетов исходящих от веб сервера 20.20.20.100 на адрес 0.0.0.0/0 в table указал l2tp-mark.

Теперь ответы сервера идут по тому же пути, что и входящие запросы (через туннель на Микротик 1)

Я понимаю ваше негодование, но абсурдность моих конфигураций обуславливается лишь неосведомленностью в том, как реализовать то или иное решение.

[korsar182]

keldar поделитесь конфигом, желательно проверенным на практике, при котором ответы от веб-сервера будут уходить через VPN, а не шлюз провайдера?
Если Вы внимательно читали вопрос, клиенты находятся не в локальной сети предприятия, а в интернете.

[keldar]

Про какие конфиги речь если все на маршрутизации ? мне не ясен смысл делать vpn и городить nat, полиси роутинг через метки и тп
У меня юзеры через впн нормально живут с разными сетями. А вопросе ТУПО НЕТ ГЛАВНОГО, какие адреса в пуле для vpn. И чем они соединены ?L2TP IPSec?
Какой изврат... хотя это дело каждого. Я предпочел ip-ip + ipsec. У меня много подсетей, а так удобнее с маршрутами для меня. Хотя сейчас у меня динамическая маршрутизация через OSPF.