The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Проброс порта, маршрутизация за впн клиента mikrotik "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Другая система)
Изначальное сообщение [ Отслеживать ]

"Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 13-Сен-15, 23:29 
Добрый день.

Есть CentOS  c l2tp сервером, статический адрес в мир.  
Есть Микротик с впн клиентом  на CentOS.  
Есть пользовательский компьютер с win, подключен к микротику

Задача: Из мира  подключиться к статическому ip адресу  Centos по порту 3389 и попадаю на пользовательский компьютер, который за микротиком. Микротик  с centos соединен впн клиентом через интернет на тот же статический адрес CentOS

Данные Centos
10.0.0.1 ip l2tp servera
1.1.1.1 статический адрес, виден из мира
Данные пользовательского компа
192.168.88.254
Данные микротика
10.0.0.51  выдает l2tp server centos
192.168.0.2 ip дает провайдер для доступа в инетрент (реально он другой)
192.168.0.1 шлюз провайдера интернета (он другой в реалии )
192.168.88.0/24 Локалка

Что я сделал:
настроил впн клиент на микротике, соединяется с centos.

Маршрут прописывается автоматом на centos при соединении микротика с centos
route add -net 192.168.88.0/24 gw 10.0.0.1

после этого маршрута могу пинговать с пользовательской машины айпи 10.0.0.1 и обратно c centos пользовательскую машину

Прописываю правила в iptables для проброса
iptables -A FORWARD -i eth0 -d 192.168.88.254 -p tcp --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 3389 -j DNAT --to-destination 192.168.88.254:3389


Смотрел встроенными средствами на микротике что делает трафик, сделал вывод (может быть ошибочный) он  идет обратно через шлюз провайдера на микротике.

На микротике маркировал пакеты, пытался заставить их идти обратно в l2tp соединение. Видно не умею или не понимаю. Не умею  это делать правельно.

Мануалы читал, 3 день мучаюсь. Пожалуйста подскажите. Может я не правильно хочу реализовать задачу и есть другой вариант

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Павел Самсонов email on 14-Сен-15, 17:03 
>[оверквотинг удален]
> ACCEPT
> iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 3389 -j
> DNAT --to-destination 192.168.88.254:3389
> Смотрел встроенными средствами на микротике что делает трафик, сделал вывод (может быть
> ошибочный) он  идет обратно через шлюз провайдера на микротике.
> На микротике маркировал пакеты, пытался заставить их идти обратно в l2tp соединение.
> Видно не умею или не понимаю. Не умею  это делать
> правельно.
> Мануалы читал, 3 день мучаюсь. Пожалуйста подскажите. Может я не правильно хочу
> реализовать задачу и есть другой вариант

Еще раз напиши все ip в последовательости
Клиент - микротик - центос - терминальный сервер.
А то вообще путаница.
И надо ли тут нат и проброс портов, если при впн можно обойтись обычным роутингом прописав маршруты в подсети на обоих концах впн тунеля?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 14-Сен-15, 18:02 
>[оверквотинг удален]
>> Видно не умею или не понимаю. Не умею  это делать
>> правельно.
>> Мануалы читал, 3 день мучаюсь. Пожалуйста подскажите. Может я не правильно хочу
>> реализовать задачу и есть другой вариант
> Еще раз напиши все ip в последовательости
> Клиент - микротик - центос - терминальный сервер.
> А то вообще путаница.
> И надо ли тут нат и проброс портов, если при впн можно
> обойтись обычным роутингом прописав маршруты в подсети на обоих концах впн
> тунеля?

локальная машина 192.168.88.254
микротик лан 192.168.88.1
микротик ван 77.хх.хх.хх динамический
микротик 10.0.0.52 впн до центос
центос 74.уу.уу.уу статический к нему подключаются из мира и впн клиенты
центос 10.0.0.1 впн шлюз
центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)


надо с телефона из мира (без впн) например,  постучаться на  74.уу.уу.уу :3389  попасть на  
192.168.88.254:3389

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Павел Самсонов email on 14-Сен-15, 18:17 
>[оверквотинг удален]
> локальная машина 192.168.88.254
> микротик лан 192.168.88.1
> микротик ван 77.хх.хх.хх динамический
> микротик 10.0.0.52 впн до центос
> центос 74.уу.уу.уу статический к нему подключаются из мира и впн клиенты
> центос 10.0.0.1 впн шлюз
> центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)
> надо с телефона из мира (без впн) например,  постучаться на  
> 74.уу.уу.уу :3389  попасть на
>  192.168.88.254:3389

Ну первое что видится - маршрут на центос
route add -net 192.168.88.0/24 gw 10.0.0.52

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Павел Самсонов email on 14-Сен-15, 18:22 
>[оверквотинг удален]
>> микротик ван 77.хх.хх.хх динамический
>> микротик 10.0.0.52 впн до центос
>> центос 74.уу.уу.уу статический к нему подключаются из мира и впн клиенты
>> центос 10.0.0.1 впн шлюз
>> центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)
>> надо с телефона из мира (без впн) например,  постучаться на
>> 74.уу.уу.уу :3389  попасть на
>>  192.168.88.254:3389
> Ну первое что видится - маршрут на центос
> route add -net 192.168.88.0/24 gw 10.0.0.52

Второе что видится правило dnat -
iptables -t nat -A PREROUTING -p tcp -d 74.yy.yy.yy--dport 3389 -j DNAT --to-destination 192.168.88.254:3389


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 14-Сен-15, 19:04 
>[оверквотинг удален]
>>> центос 10.0.0.1 впн шлюз
>>> центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)
>>> надо с телефона из мира (без впн) например,  постучаться на
>>> 74.уу.уу.уу :3389  попасть на
>>>  192.168.88.254:3389
>> Ну первое что видится - маршрут на центос
>> route add -net 192.168.88.0/24 gw 10.0.0.52
> Второе что видится правило dnat -
> iptables -t nat -A PREROUTING -p tcp -d 74.yy.yy.yy--dport 3389 -j DNAT
> --to-destination 192.168.88.254:3389

Первое есть, писал в начале, второе проверю отпишу

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Павел Самсонов email on 14-Сен-15, 19:08 
>[оверквотинг удален]
>>>> центос 10.0.0.51 впн с микротик    (10.0.0.52 ----> 10.0.0.51)
>>>> надо с телефона из мира (без впн) например,  постучаться на
>>>> 74.уу.уу.уу :3389  попасть на
>>>>  192.168.88.254:3389
>>> Ну первое что видится - маршрут на центос
>>> route add -net 192.168.88.0/24 gw 10.0.0.52
>> Второе что видится правило dnat -
>> iptables -t nat -A PREROUTING -p tcp -d 74.yy.yy.yy--dport 3389 -j DNAT
>> --to-destination 192.168.88.254:3389
> Первое есть, писал в начале, второе проверю отпишу

Нету первого, вы написали что маршрут с центоса в вашу подсетку через 10.0.0.1, я написал что должно быть через микротик 10.0.0.52.  Если стоять на центос, то сеть 192.168.88.0 лежит за 10.0.0.52 а не за 10.0.0.1.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 14-Сен-15, 19:34 
Не работает, какие логи показать?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 14-Сен-15, 19:49 
> Не работает, какие логи показать?

тсп дамп с цент ос

19:47:49.971228 IP customer148.transtelecom.net.49338 > yy yy yy yy ms-wbt-server: Flags [S], seq 3643777723, win 65535, options [mss 1380,nop,wscale 5,nop,nop,TS val 487494543 ecr 0,sackOK,eol], length 0


До микротика даже не доходит

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Павел Самсонов email on 14-Сен-15, 21:04 
> Не работает, какие логи показать?

С centos ping 192.168.88.254 - интересует правильно ли маршрут и файервол.
С 192.168.88.254 traceroute ya.ru посмотреть как идут обратные пакеты.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 14-Сен-15, 21:28 
>> Не работает, какие логи показать?
> С centos ping 192.168.88.254 - интересует правильно ли маршрут и файервол.
> С 192.168.88.254 traceroute ya.ru посмотреть как идут обратные пакеты.

PING 192.168.88.254 (192.168.88.254) 56(84) bytes of data.
64 bytes from 192.168.88.254: icmp_seq=1 ttl=127 time=13.6 ms
64 bytes from 192.168.88.254: icmp_seq=2 ttl=127 time=13.9 ms
64 bytes from 192.168.88.254: icmp_seq=3 ttl=127 time=13.8 ms
64 bytes from 192.168.88.254: icmp_seq=4 ttl=127 time=13.9 ms


C:\Users\1stat>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.193.3]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  router [192.168.88.1]
  2    <1 мс     1 ms    <1 мс  192.168.0.1
  3    <1 мс     1 ms     1 ms  10.1.254.148
  4     1 ms     1 ms     1 ms  customer129.transtelecom.net [62.33.191.129]
  5     2 ms     2 ms     2 ms  msk05.msk25.transtelecom.net [217.150.60.182]
  6    13 ms    12 ms    12 ms  spb06.transtelecom.net [217.150.63.226]
  7    10 ms    17 ms    10 ms  yandexspb-gw.transtelecom.net [217.150.63.225]
  8     *        *        *     Превышен интервал ожидания для запроса.
  9    16 ms    10 ms    10 ms  fol5-c2-ae3.yndx.net [87.250.239.130]
10    11 ms    11 ms    10 ms  www.yandex.ru [213.180.193.3]

Трассировка завершена.

C:\Users\1stat>tracert 10.0.0.1


Трассировка маршрута к 10.0.0.1 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  router [192.168.88.1]
  2    14 ms    12 ms    13 ms  10.0.0.1

Трассировка завершена.


яндекс трассируется через домашнего провайдера , а 10.0.0.1 - микротик заворачивает на vpn сервер.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 14-Сен-15, 21:49 
Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу

Наверное нужно как то маркировать их на микротике, я так думаю

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Павел Самсонов email on 14-Сен-15, 21:53 
> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу

Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source 74.yy.yy.yy:3389.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 14-Сен-15, 21:57 
>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
> 74.yy.yy.yy:3389.

Варианты?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Павел Самсонов email on 14-Сен-15, 22:12 
>>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>> 74.yy.yy.yy:3389.
> Варианты?

Ты говорил микротик умеет маркировать.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 14-Сен-15, 22:22 
>>>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
>>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>>> 74.yy.yy.yy:3389.
>> Варианты?
> Ты говорил микротик умеет маркировать.

Умеет , только я не понимаю что маркировать

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Павел Самсонов email on 14-Сен-15, 22:26 
>>>>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
>>>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>>>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>>>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>>>> 74.yy.yy.yy:3389.
>>> Варианты?
>> Ты говорил микротик умеет маркировать.
> Умеет , только я не понимаю что маркировать

Маркировать source 192.168.88.254:3389 и роутить на 10.0.0.251
Слушай, заем тебе это было надо? (Грустно)


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 15-Сен-15, 00:28 
>>>>>> Проанализировал трафик на микротике, пакеты идут на 192.168.88.254:3389. А обратных невижу
>>>>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>>>>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>>>>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>>>>> 74.yy.yy.yy:3389.
>>>> Варианты?
>>> Ты говорил микротик умеет маркировать.
>> Умеет , только я не понимаю что маркировать
> Маркировать source 192.168.88.254:3389 и роутить на 10.0.0.251
> Слушай, заем тебе это было надо? (Грустно)

спасибо, подключаться к домашнему компьютеру.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 15-Сен-15, 23:08 
>[оверквотинг удален]
>>>>>> Ну уже лучше. Из трассировки до ya.ru видно что пакеты в интерет
>>>>>> возвращаются совсем другим маршрутом, а должны попадать на centos, чтобы он
>>>>>> делал обратное преобразование идля этих пактов из source 192.168.88.254:3389 в source
>>>>>> 74.yy.yy.yy:3389.
>>>>> Варианты?
>>>> Ты говорил микротик умеет маркировать.
>>> Умеет , только я не понимаю что маркировать
>> Маркировать source 192.168.88.254:3389 и роутить на 10.0.0.251
>> Слушай, заем тебе это было надо? (Грустно)
> спасибо, подключаться к домашнему компьютеру.

Проблема осталась, видимо я не правильно маркирую. На бубликах или на примере микротика расскажите кто нибудь как это сделать

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от 1stat (ok) on 17-Сен-15, 00:57 
Готово


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Проброс порта, маршрутизация за впн клиента mikrotik "  +/
Сообщение от Александр email(??) on 27-Янв-17, 12:26 
> Готово

Такая же проблема, а что готово?


Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру