Не хватало записи.
iptables -t nat -A POSTROUTING -d y.y.y.100 -p tcp --dport 3389 -j SNAT --to-source y.y.y.1
Спасибо большое за помощь, счастливого нового года =)
Cпасибо за схему. Поправил.
Правда не помогло.
При попытке подключиться к 185.*.*.*:61234 пакеты до домашнего сервака доходят, но обратно теряются, судя по netstat -an на домашнем серваке:
192.168.10.100:3389 185.*.*.*:4171 SYN_RECEIVED
Получаем такую ситуацию. Туннель работает нормально.
Если машину подцепить к Микротику напрямую, то все работает отлично. Если между машиной и Микротиком есть свич, то "Сервер RPC недоступен"
И я не могу понять причину и следствие...
В общем, работает. Но с костылем.
Сегодня откатился и сделал с нуля.
И так напомним еще раз. У нас на 1 стороне RRAS под Win Server 2012, белый IP, за RRAS есть локалка. На второй стороне Mikrotik RB951g-2hnd, ROS 6.27, белый IP, за ним есть локалка.
На стороне RRAS
В настройках фаерволла создаем тунель до микротика.
В консоли RRAS в интерфейсах создаем demand-dial соединение до Микротика, через l2tp. Добавляем сразу статический маршрут и в свойстах ставим галку persistent connection.
На стороне Микротика.
Добавляем pool
PPP создаем профиль, secrets.
Включаем L2TP сервер с IPsec. Делаем интерфейс. Вписываем в них созданные профиль и логин\пароль.
Добавляем в NAT правило add chain=srcnat dst-address=(локалка за RRAS) src-address=(локалка Микротик)
В IPsec добавляем proporsal c галками sha1 3des aes-128 cbc aes-256 cbc
Поднимаем соединение от RRAS до Микротик используя лог\пасс созданные на микротике.
В этот момент поднимается IPsec transport, но(не могу понять почему) соединение не происходит.
Тогда в ход идет костыль.
Создаем l2tp-out интерфейс на микротике. Кидаем с него соединение до RRAS, поднимается моментально.
После кидаем соединение с RRAS на микротик, все поднимается.
Добавляем маршрут в локалку за RRAS.
Пакеты из сетки в сетку ходят зашифрованными. Все работает.
Но, в случае если перезагружается одна из сторон. Каждый раз поправлять костыль... как то не очень.
Буду искать решение, в крайнем случае наверно можно повесить костыль на скрипт.
Хм. Сегодня.
Cогласно паре гайдов, добавлены 2 правила NAT
add chain=srcnat dst-address=10.254.35.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=
На RRAS был пересоздан ipsec тунель, поменял местами локальные сетки в Endpoint 1 и 2.
Убил все соединения.
ipsec поднялся автоматом, появилась запись Remote Peer, обменялись SA, но вкладка policies осталось пустой.
После пересоздал соединение на RRAS до микротик, в свойствах поставил Persistent Connection.
Поднялось без проблем. Так как полиси на микротике не поднялись, прописал вручную маршруты.
Трафик ходит в обе стороны. Судя по вкладке SA и чудовищной загрузке проца на Микротике, даже шифруется.
3 часа, полет нормальный.
Поставил логи, надеюсь за ночь не упадет.
Такс. Вроде поднял VPN.
Переделал ipsec тунель на RRAS.
Включил l2tp сервер на микротик с галкой use ipsec(добавляет дефолтный peer)
Кинул соединение с RRAS на микротик, обменялись SA и дальше микротик начал ругаться на автоматически созданный policies.
Пока RRAS все еще стучался на микротик, кинул l2tp-out с микротика на RRAS. Так как SA уже есть, соединение прошло.
Через 20 секунд, соединение от RRAS до микротика, тоже поднялось.
С RRAS вижу всю сетку за Микротиком, с микротика не вижу сетку за RRAS.
Буду думать как прописать маршруты.
iptables -t nat -A POSTROUTING -d y.y.y.100 -p tcp --dport 3389 -j SNAT --to-source y.y.y.1
Спасибо большое за помощь, счастливого нового года =)