Mikrotik проброс портов через 2 роутера
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Вопрос о пробросе порта через несколько роутеров
Всем Привет.
Случилась ситуация что не могу решить 1 простую вроде вещь но уже несколько дней не получается.
Оборудование
1 роутер ip 10.10.10.1 + внутренний ip 192.168.0.254
за первым роутером стоит веб сервер 192.168.0.100
2 роутер Ip 20.20.20.1
+ поднят ipip тунель
1 роутер 10.255.0.1
2 роутер 10.255.0.2
в роутах все пути прописаны и мангл указан и pref source ну и маскарад разумеется
в 1м роутере проброшен 80 порт и всё отлично. Если захожу на 80 через внешний ip и порт то вебсервер определяет мой внешний ip откуда я подключаюсь.
траф веб сервера красится манглом чтобы распределять куда отвечать
Но вот пробросил я на 2м роутере тоже 80й порт сразу на 192.168.0.100
Прогрузка идёт и всё отлично. НО веб сервер внешний ip определяет внутренний Ip роутера тоесть 192.168.0.254
Как мне пробросить пакеты поступающие на 2й роутер через тунель к первому роутеру до веб сервера и чтобы вебсервер видел внешний ip того кто подключается а не внутренний локальный роутера.
Буду благодарен за помощь разобраться в текущей схеме или создать новую но используя тотже тунель ipip
xvo Сообщения: 3913 Зарегистрирован: 25 фев 2018, 22:41 Откуда: Москва
Возможно.
0 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=»»
1 chain=srcnat action=masquerade out-interface=9116
xvo Сообщения: 3913 Зарегистрирован: 25 фев 2018, 22:41 Откуда: Москва
Возможно.
0 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=»»
1 chain=srcnat action=masquerade out-interface=9116
1) Зачем маскарадить все уходящее в туннель? Получается, что на том конце туннеля, на роутере 2 все видят только туннельный адрес роутера1.
Если аналогичная настройка есть на роутере2, то уже как минимум сервер будет знать только о существовании роутера2, но не того, что за ним.
Хотя это и не объясняет, почему он видит адрес своего же роутера1 в качестве источника.
Если правильно прописаны маршруты на удалённые подсети на обоих роутерах, то все должно работать и без маскарадинга.
2) Мангл + маршрут по логике должен отправлять весь траффик от сервера в туннель, т.е. буквально весь. Это так и задумано? И оно работает?
xvo Сообщения: 3913 Зарегистрирован: 25 фев 2018, 22:41 Откуда: Москва
В итоге, чтобы все это работало между подсетями, и кроме этого ещё был доступ на сервер и из WAN роутера2, надо:
— убрать ненужные маскарадинги.
— переделать мангл на то, что должно уходить во вне через WAN роутера2:
мангл должен метить соединения входящие из туннеля и идущие на сервер, и только на пакеты с этим connection-mark идущие обратно от сервера, уже вешать routing-mark на маршрут в туннель.
Да весь траф идет через удаленный роутер и так работает.
Но добиться того чтобы светился Ip клиента я не смог.
А можно поконкретнее пжлст про настройку схемы предложенной вами?
xvo Сообщения: 3913 Зарегистрирован: 25 фев 2018, 22:41 Откуда: Москва
Если по шагам, примерно так:
0) Предполагается, что маршрутизация на обоих роутера настроена и каждый знает, где что находится в сетях другого.
1) Настраиваете NAT на обоих маршрутизаторах таким образом, чтобы маскарадинг работал только во внешнюю сеть (out-interface=wan-интерфейс).
1*) В идеале, если внешние адреса белые и статические (а я понимаю, у вас именно такой случай), то лучше вообще action=masquerade заменить на action=src-nat на соответственные внешние адреса.
2) Дальше, проброс портов на сервер на обоих маршрутизаторах (to-addresses=внутренний-адрес-сервера)
2*) Разрешить все это в firewall’ах.
3) Теперь надо на маршрутизаторе1 пометить новые соединения (connection-state=new) которые выходят из туннеля (in-interface=туннель) и предназначен серверу (dst-address=внутренний-адрес-сервера) — action=mark-connection new-connection-mark=какая-то-метка1. Цепочка chain=forward.
4) Дальше на, что помечено по пункту (3) (connection-mark=какая-то-метка1) в случае если, траффик идет в обратном направлении (src-address=внутренний-адрес-сервера), надо навешивать метку маршрута (action=mark-routing), чтобы ответы сервера улетали туда, откуда прилетели — в туннель: new-routing-mark=метка-маршрута-в-туннель. Цепочка chain=prerouting.
5) И последнее — надо добавить маршрут для траффика с меткой routing-mark=метка-маршрута-в-туннель на дальний конец туннеля (gateway=туннельный-адрес-маршрутизатора2).
Mikrotik проброс портов через 2 роутера
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
проброс портов за 2 ната
Добрый день!
Столкнулся с такой проблемой. У меня установлено 2 роутера Mikrotik. Первому подключен провайдер который даёт несколько белых IP. Далее за эти роутером находится другой микротик, который от первого получает IP из серой сетки. На первом роутере настроены правила dst nat с белого IP на IP второго микротика. У меня получается попадать на второй микротик по этому белому IP по винбоксу и по вебу. Далее ко второму роутеру уже в его сеть 192.168.88.1/24 подключен видерегистратор с IP 192.168.88.105. На этом регистраторе имеется порт 34567 для программы видеонаблюдения и 80 порт для веба.
Настроил на втором микротике правила dst nat для перенаправления с IP этого роутера при запросе на порт 34567 на IP видеорегистратора на порт 34567.
add action=dst-nat chain=dstnat dst-address=172.22.172.5 dst-port=34567 in-interface=ether1-gateway comment=videoreg dst-port=34567 to-addresses=192.168.88.105 to-ports=34567
По аналогии настроен проброс на 80 порт при запросе 8080 и ещё сделаны несколько пробросов на 80-е порты роутеров стоящих за вторым микротиком.
Ни на одно устройство извне попасть не получается, как по белому IP, так и по IP их серой сетки. В локалке все доступы работают.
Подскажите что проверять и куда копать.
Mikrotik проброс портов через 2 роутера
Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Проброс порта через два mikrotik
Добрый день уважаемые форумчане.
Для упрощения понимания нарисовал картинку.
Как пробросить порт 80й.
Роутер 1 (10.0.11.1) пингует второй (10.0.0.2) и сервер (10.0.0.3) через впн + оспф.
1. Первая попытка — на первом роутере проброс порта дст-нат сразу на сервер резульната не дает.
2. Второй вариант проброс порта на айпи впн (согласно таблице маршрутизации) 192.168.14.1, потом проброс тоже дст нат на втором роутере (хотя тут уже запутался, потому что ната уже ж нету наверное.) На сервер тоже не помогло.
Что добавить в описание слушаю. Помогите.
podarok66 Модератор Сообщения: 4265 Зарегистрирован: 11 фев 2012, 18:49 Откуда: МО
Картинки нет, больших букв дефицит, со знаками препинания беда. Поправьте пжлст, приведите в читаемый вид пост.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal’ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.
Привет!
Если с роутами все нормально, то на первом роутере(на картинке слева):
chain=dstnat action=netmap to-addresses=192.168.14.1 to-ports=80 protocol=tcp in-interface=»интерфейс который смотрит наружу» dst-port=80 log=no log-prefix=»»
На втором:
chain=dstnat action=netmap to-addresses=10.0.0.3 to-ports=80 protocol=tcp in-interface=»интерфейс vpn-туннеля с 14-подсетью» dst-port=80 log=no log-prefix=»»
Seven88 писал(а): Привет!
Если с роутами все нормально, то на первом роутере(на картинке слева):
chain=dstnat action=netmap to-addresses=192.168.14.1 to-ports=80 protocol=tcp in-interface=»интерфейс который смотрит наружу» dst-port=80 log=no log-prefix=»»
На втором:
chain=dstnat action=netmap to-addresses=10.0.0.3 to-ports=80 protocol=tcp in-interface=»интерфейс vpn-туннеля с 14-подсетью» dst-port=80 log=no log-prefix=»»
Спасибо за помощь. Удалось разобраться. Сам и отвечу.
Второй роутер вообще трогать не надо ибо все серые участники хорошо пингуют друг друга. А на первом пришлось добавить спецправило маскарадинга дст нат для 10,0,0,3.
chain=srcnat action=masquerade protocol=tcp dst-address=10.0.0.3 dst-port=80 log=no log-prefix=»»
chain=dstnat action=dst-nat to-addresses=10.0.0.3 to-ports=80 protocol=tcp dst-address=134.249.**.** in-interface=ether1 dst-port=80 log=no log-prefix=»»