URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96285
[ Назад ]

Исходное сообщение
"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 13-Сен-15 23:29

Добрый день.
Есть CentOS  c l2tp сервером, статический адрес в мир.
Есть Микротик с впн клиентом  на CentOS.
Есть пользовательский компьютер с win, подключен к микротику
Задача: Из мира  подключиться к статическому ip адресу  Centos по порту 3389 и попадаю на пользовательский компьютер, который за микротиком. Микротик  с centos соединен впн клиентом через интернет на тот же статический адрес CentOS
Данные Centos
10.0.0.1 ip l2tp servera
1.1.1.1 статический адрес, виден из мира
Данные пользовательского компа
192.168.88.254
Данные микротика
10.0.0.51  выдает l2tp server centos
192.168.0.2 ip дает провайдер для доступа в инетрент (реально он другой)
192.168.0.1 шлюз провайдера интернета (он другой в реалии )
192.168.88.0/24 Локалка
Что я сделал:
настроил впн клиент на микротике, соединяется с centos.
Маршрут прописывается автоматом на centos при соединении микротика с centos
route add -net 192.168.88.0/24 gw 10.0.0.1
после этого маршрута могу пинговать с пользовательской машины айпи 10.0.0.1 и обратно c centos пользовательскую машину
Прописываю правила в iptables для проброса
iptables -A FORWARD -i eth0 -d 192.168.88.254 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 3389 -j DNAT --to-destination 192.168.88.254:3389

Смотрел встроенными средствами на микротике что делает трафик, сделал вывод (может быть ошибочный) он  идет обратно через шлюз провайдера на микротике.
На микротике маркировал пакеты, пытался заставить их идти обратно в l2tp соединение. Видно не умею или не понимаю. Не умею  это делать правельно.
Мануалы читал, 3 день мучаюсь. Пожалуйста подскажите. Может я не правильно хочу реализовать задачу и есть другой вариант

Содержание

Проброс порта, маршрутизация за впн клиента mikrotik ,Павел Самсонов, 17:03 , 14-Сен-15
- Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 18:02 , 14-Сен-15
  - Проброс порта, маршрутизация за впн клиента mikrotik ,Павел Самсонов, 18:17 , 14-Сен-15
    - Проброс порта, маршрутизация за впн клиента mikrotik ,Павел Самсонов, 18:22 , 14-Сен-15
      - Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 19:04 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,Павел Самсонов, 19:08 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 19:34 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 19:49 , 14-Сен-15
        Проброс порта, маршрутизация за впн клиента mikrotik ,Павел Самсонов, 21:04 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 21:28 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 21:49 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,Павел Самсонов, 21:53 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 21:57 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,Павел Самсонов, 22:12 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 22:22 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,Павел Самсонов, 22:26 , 14-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 00:28 , 15-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 23:08 , 15-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,1stat, 00:57 , 17-Сен-15
        
        Проброс порта, маршрутизация за впн клиента mikrotik ,Александр, 12:26 , 27-Янв-17

Сообщения в этом обсуждении

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Павел Самсонов , 14-Сен-15 17:03

>[оверквотинг удален]
> ACCEPT
> iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 3389 -j
> DNAT --to-destination 192.168.88.254:3389
> Смотрел встроенными средствами на микротике что делает трафик, сделал вывод (может быть
> ошибочный) он идет обратно через шлюз провайдера на микротике.
> На микротике маркировал пакеты, пытался заставить их идти обратно в l2tp соединение.
> Видно не умею или не понимаю. Не умею это делать
> правельно.
> Мануалы читал, 3 день мучаюсь. Пожалуйста подскажите. Может я не правильно хочу
> реализовать задачу и есть другой вариант
Еще раз напиши все ip в последовательости
Клиент - микротик - центос - терминальный сервер.
А то вообще путаница.
И надо ли тут нат и проброс портов, если при впн можно обойтись обычным роутингом прописав маршруты в подсети на обоих концах впн тунеля?

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 14-Сен-15 18:02

>[оверквотинг удален]
>> Видно не умею или не понимаю. Не умею  это делать
>> правельно.
>> Мануалы читал, 3 день мучаюсь. Пожалуйста подскажите. Может я не правильно хочу
>> реализовать задачу и есть другой вариант
> Еще раз напиши все ip в последовательости
> Клиент - микротик - центос - терминальный сервер.
> А то вообще путаница.
> И надо ли тут нат и проброс портов, если при впн можно
> обойтись обычным роутингом прописав маршруты в подсети на обоих концах впн
> тунеля?
локальная машина 192.168.88.254
микротик лан 192.168.88.1
микротик ван 77.хх.хх.хх динамический
микротик 10.0.0.52 впн до центос
центос 74.уу.уу.уу статический к нему подключаются из мира и впн клиенты
центос 10.0.0.1 впн шлюз
центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)

надо с телефона из мира (без впн) например,  постучаться на  74.уу.уу.уу :3389  попасть на
192.168.88.254:3389

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Павел Самсонов , 14-Сен-15 18:17

>[оверквотинг удален]
> локальная машина 192.168.88.254
> микротик лан 192.168.88.1
> микротик ван 77.хх.хх.хх динамический
> микротик 10.0.0.52 впн до центос
> центос 74.уу.уу.уу статический к нему подключаются из мира и впн клиенты
> центос 10.0.0.1 впн шлюз
> центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)
> надо с телефона из мира (без впн) например,  постучаться на
> 74.уу.уу.уу :3389  попасть на
>  192.168.88.254:3389
Ну первое что видится - маршрут на центос
route add -net 192.168.88.0/24 gw 10.0.0.52

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Павел Самсонов , 14-Сен-15 18:22

>[оверквотинг удален]
>> микротик ван 77.хх.хх.хх динамический
>> микротик 10.0.0.52 впн до центос
>> центос 74.уу.уу.уу статический к нему подключаются из мира и впн клиенты
>> центос 10.0.0.1 впн шлюз
>> центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)
>> надо с телефона из мира (без впн) например,  постучаться на
>> 74.уу.уу.уу :3389  попасть на
>>  192.168.88.254:3389
> Ну первое что видится - маршрут на центос
> route add -net 192.168.88.0/24 gw 10.0.0.52
Второе что видится правило dnat -
iptables -t nat -A PREROUTING -p tcp -d 74.yy.yy.yy--dport 3389 -j DNAT --to-destination 192.168.88.254:3389

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 14-Сен-15 19:04

>[оверквотинг удален]
>>> центос 10.0.0.1 впн шлюз
>>> центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)
>>> надо с телефона из мира (без впн) например,  постучаться на
>>> 74.уу.уу.уу :3389  попасть на
>>>  192.168.88.254:3389
>> Ну первое что видится - маршрут на центос
>> route add -net 192.168.88.0/24 gw 10.0.0.52
> Второе что видится правило dnat -
> iptables -t nat -A PREROUTING -p tcp -d 74.yy.yy.yy--dport 3389 -j DNAT
> --to-destination 192.168.88.254:3389
Первое есть, писал в начале, второе проверю отпишу

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Павел Самсонов , 14-Сен-15 19:08

>[оверквотинг удален]
>>>> центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)
>>>> надо с телефона из мира (без впн) например,  постучаться на
>>>> 74.уу.уу.уу :3389  попасть на
>>>>  192.168.88.254:3389
>>> Ну первое что видится - маршрут на центос
>>> route add -net 192.168.88.0/24 gw 10.0.0.52
>> Второе что видится правило dnat -
>> iptables -t nat -A PREROUTING -p tcp -d 74.yy.yy.yy--dport 3389 -j DNAT
>> --to-destination 192.168.88.254:3389
> Первое есть, писал в начале, второе проверю отпишу
Нету первого, вы написали что маршрут с центоса в вашу подсетку через 10.0.0.1, я написал что должно быть через микротик 10.0.0.52.  Если стоять на центос, то сеть 192.168.88.0 лежит за 10.0.0.52 а не за 10.0.0.1.

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 14-Сен-15 19:34

Не работает, какие логи показать?

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 14-Сен-15 19:49

> Не работает, какие логи показать?
тсп дамп с цент ос
19:47:49.971228 IP customer148.transtelecom.net.49338 > yy yy yy yy ms-wbt-server: Flags [S], seq 3643777723, win 65535, options [mss 1380,nop,wscale 5,nop,nop,TS val 487494543 ecr 0,sackOK,eol], length 0

До микротика даже не доходит

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Павел Самсонов , 14-Сен-15 21:04

> Не работает, какие логи показать?
С centos ping 192.168.88.254 - интересует правильно ли маршрут и файервол.
С 192.168.88.254 traceroute ya.ru посмотреть как идут обратные пакеты.

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 14-Сен-15 21:28

>> Не работает, какие логи показать?
> С centos ping 192.168.88.254 - интересует правильно ли маршрут и файервол.
> С 192.168.88.254 traceroute ya.ru посмотреть как идут обратные пакеты.
PING 192.168.88.254 (192.168.88.254) 56(84) bytes of data.
64 bytes from 192.168.88.254: icmp_seq=1 ttl=127 time=13.6 ms
64 bytes from 192.168.88.254: icmp_seq=2 ttl=127 time=13.9 ms
64 bytes from 192.168.88.254: icmp_seq=3 ttl=127 time=13.8 ms
64 bytes from 192.168.88.254: icmp_seq=4 ttl=127 time=13.9 ms

C:\Users\1stat>tracert ya.ru
Трассировка маршрута к ya.ru [213.180.193.3]
с максимальным числом прыжков 30:
  1    <1 мс    <1 мс    <1 мс  router [192.168.88.1]
  2    <1 мс     1 ms    <1 мс  192.168.0.1
  3    <1 мс     1 ms     1 ms  10.1.254.148
  4     1 ms     1 ms     1 ms  customer129.transtelecom.net [62.33.191.129]
  5     2 ms     2 ms     2 ms  msk05.msk25.transtelecom.net [217.150.60.182]
  6    13 ms    12 ms    12 ms  spb06.transtelecom.net [217.150.63.226]
  7    10 ms    17 ms    10 ms  yandexspb-gw.transtelecom.net [217.150.63.225]
  8     *        *        *     Превышен интервал ожидания для запроса.
  9    16 ms    10 ms    10 ms  fol5-c2-ae3.yndx.net [87.250.239.130]
10    11 ms    11 ms    10 ms  www.yandex.ru [213.180.193.3]
Трассировка завершена.
C:\Users\1stat>tracert 10.0.0.1

Трассировка маршрута к 10.0.0.1 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  router [192.168.88.1]
  2    14 ms    12 ms    13 ms  10.0.0.1
Трассировка завершена.

яндекс трассируется через домашнего провайдера , а 10.0.0.1 - микротик заворачивает на vpn сервер.

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 14-Сен-15 21:49

Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
Наверное нужно как то маркировать их на микротике, я так думаю

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Павел Самсонов , 14-Сен-15 21:53

> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source 74.yy.yy.yy:3389.

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 14-Сен-15 21:57

>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
> 74.yy.yy.yy:3389.
Варианты?

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Павел Самсонов , 14-Сен-15 22:12

>>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>> 74.yy.yy.yy:3389.
> Варианты?
Ты говорил микротик умеет маркировать.

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 14-Сен-15 22:22

>>>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
>>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>>> 74.yy.yy.yy:3389.
>> Варианты?
> Ты говорил микротик умеет маркировать.
Умеет , только я не понимаю что маркировать

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Павел Самсонов , 14-Сен-15 22:26

>>>>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
>>>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>>>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>>>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>>>> 74.yy.yy.yy:3389.
>>> Варианты?
>> Ты говорил микротик умеет маркировать.
> Умеет , только я не понимаю что маркировать
Маркировать source 192.168.88.254:3389 и роутить на 10.0.0.251
Слушай, заем тебе это было надо? (Грустно)

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 15-Сен-15 00:28

>>>>>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
>>>>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>>>>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>>>>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>>>>> 74.yy.yy.yy:3389.
>>>> Варианты?
>>> Ты говорил микротик умеет маркировать.
>> Умеет , только я не понимаю что маркировать
> Маркировать source 192.168.88.254:3389 и роутить на 10.0.0.251
> Слушай, заем тебе это было надо? (Грустно)
спасибо, подключаться к домашнему компьютеру.

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 15-Сен-15 23:08

>[оверквотинг удален]
>>>>>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>>>>>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>>>>>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>>>>>> 74.yy.yy.yy:3389.
>>>>> Варианты?
>>>> Ты говорил микротик умеет маркировать.
>>> Умеет , только я не понимаю что маркировать
>> Маркировать source 192.168.88.254:3389 и роутить на 10.0.0.251
>> Слушай, заем тебе это было надо? (Грустно)
> спасибо, подключаться к домашнему компьютеру.
Проблема осталась, видимо я не правильно маркирую. На бубликах или на примере микротика расскажите кто нибудь как это сделать

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено 1stat , 17-Сен-15 00:57

Готово

"Проброс порта, маршрутизация за впн клиента mikrotik "
Отправлено Александр , 27-Янв-17 12:26

> Готово
Такая же проблема, а что готово?