Перейти до

Mikrotik проброс порта


Рекомендованные сообщения

Неожиданно столкнулся с вроде бы простой проблемой, но ломаю голову уже который час.

Имеется сеть предприятия.

Несколько интерфейсов, по которым подсети получают интернет.

На каждый интерфейс созданы правила scr-nat, по которым юзеры получают инет.

Предположим, что у нас есть доступ из подсети 192.168.1.10 со шлюзом 192.168.1.1

На другом интерфейсе этого же микротика имеется некое устройство с адресом 192.168.0.100, шлюз 192.168.0.1

Роутинг настроен, пинг на устройство есть.

Однако, нужно попасть на устройство по порту 80 так, чтобы это устройство видело запрос не от 192.168.1.10 (через роутинг) а от шлюза 192.168.0.1

В своё время какой-то умник настроил там удаленный доступ таким макаром, что в списке разрешенных есть только адрес шлюза, потому что в роли сервера была машина с виндовс7 и админили прямо оттуда.

 

Какое правило использовать?

Відредаговано Туйон
Ссылка на сообщение
Поделиться на других сайтах
52 минуты назад, Туйон сказал:

Какое правило использовать?

src-nat :)

 

52 минуты назад, Туйон сказал:

На каждый интерфейс созданы правила scr-nat, по которым юзеры получают инет.

Указать адрес, куда(в какой IP) будут натится.

Ссылка на сообщение
Поделиться на других сайтах

ну или если тебе конкретно на 80 порт надо чтобы виделось от ип 192.168.0.1, а по всем остальным портам от 192.168.1.10 то тогда так

add action=masquerade chain=srcnat dst-address=192.168.0.100 dst-port=80 protocol=tcp src-address=192.168.1.10

Ссылка на сообщение
Поделиться на других сайтах

Только вы уточняйте, что маскарад более ресурсоемкий и используется чаще для динамических IP, пуляя пакеты тупо в ифейс.

Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю что это тупо для управления чем то и нагрузка там минимальна.  Ну если для нагрузки то тоды по другому тоды так

add action=src-nat chain=srcnat dst-address=192.168.0.100 src-address=192.168.1.10 to-addresses=192.168.0.1

Ссылка на сообщение
Поделиться на других сайтах

Используйте src-nat вместо metmap при пробросе порта.

 

Чтоб трафик натился во втрую сетку, используйте masquerade.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, max_m сказал:

нагрузка там минимальна. 

Дело не только в нагрузке. А в принципе для чего это используется.

53 минуты назад, DVSGROUP сказал:

Используйте src-nat вместо metmap при пробросе порта.

src нат для проброса порта? Наверное dst-nat?

54 минуты назад, DVSGROUP сказал:

Чтоб трафик натился во втрую сетку, используйте masquerade.

Трафик натится будет и при src-nat. Разницу между маскарадингом и src можете сами нагуглить.

Ссылка на сообщение
Поделиться на других сайтах
В 05.07.2021 в 21:53, Dimkers сказал:

src нат для проброса порта? Наверное dst-nat?

верно, dst

 

В 05.07.2021 в 21:53, Dimkers сказал:

Трафик натится будет и при src-nat. Разницу между маскарадингом и src можете сами нагуглить.

 

Трафик можно как пробросить одним из правил dst-nat / netmap, так и натить.

 

В случае с dst - роутер не будет передавать IP клиента. В случае с netmap - отдаст IP клиента.

 

В случае с nat - аналогично dst-nat.

Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, DVSGROUP сказал:

Трафик можно как пробросить одним из правил dst-nat / netmap, так и натить.

Это все НАТ. Вдруг вы не в курсе  :)

3 часа назад, DVSGROUP сказал:

В случае с dst - роутер не будет передавать IP клиента. В случае с netmap - отдаст IP клиента.

 

В случае с nat - аналогично dst-nat.

Читайте внимательней. Ему нужно как раз в обратную сторону, из сети к серверу. И чтоб в логах на сервере светился не адрес ПК из сетки, а адрес шлюза с НАТом :)

Т.е. обычная замена src IP в пакете, которая делается как раз через src-nat  :)

 

Ссылка на сообщение
Поделиться на других сайтах
  • 4 weeks later...

Возник другой вопрос по данной теме.

Имеется микрот.

Имеется сервер с RDP, подключен к микроту.

На сервере настройка сетевухи 192.168.1.100, шлюза нет! (может дело в этом?)

Т.е. сервер не получает доступ в интернет, к нему просто обращаются из локалки на адрес 192.168.1.100 и подключаются RDP.

Стал вопрос чтобы юзеры могли подключаться откуда угодно из мира.

На микроте подключен интернет, соединение PPPoE, статичский ай-пи.

 

Делал так - не работает.

/ip firewall nat
add action=netmap chain=dstnat dst-port=3389 in-interface=pppoe protocol=tcp to-addresses=192.168.1.100 to-ports=3389
add action=masquerade chain=srcnat out-interface=pppoe

 

И пробовал другие варианты, типа вместо маскарада скрнат, и вместо нетмапа дстнат - не подключается.

 

В чем проблема? Сервак получает интернет через другую сетевуху, на той сетевухе шлюз прописан, т.е. 0.0.0.0/0 на другой провайдер.

На сетевухе которая смотрит на микротик - шлюза нет.

Но разве оно не должно работать, ведь и сервер и микрот в одной подсети 192.168.1.100 (сервер) и 192.168.1.101 (микрот).

 

Если нужен маршрут на сервере, то какой?

Я так понимаю, маршруту 0.0.0.0/0 на другой сетевухе (где интернет от другого провайдера) нужно поднять метрику.

А для сетевухи, которая смотрит на микротик, прописать маршрут с меньшей мерикой.
 

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Туйон сказал:

Если нужен маршрут на сервере, то какой?

Я так понимаю, маршруту 0.0.0.0/0 на другой сетевухе (где интернет от другого провайдера) нужно поднять метрику.

А для сетевухи, которая смотрит на микротик, прописать маршрут с меньшей мерикой.

Насколько я помню, маршрут на подсеть, отведенную под vpn. Метрики не надо трогать, при поиске маршрута, как и в linux, сначала смотрится маска сети.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
10 часов назад, Туйон сказал:

Но разве оно не должно работать, ведь и сервер и микрот в одной подсети 192.168.1.100 (сервер) и 192.168.1.101 (микрот).

не должно. На сервер прилетает пакет с src адресом рдп-клиента, а не микрота. Вот сервер и отвечает на  src адрес через второго провайдера. 

 

Лучше загони пользователей в ВПН, и пусть юзают РДП как по локалке. 

  • Like 3
Ссылка на сообщение
Поделиться на других сайтах

Или прописать на серваче вручную роуты к сетям абонов через микротик. Но я тоже больше склоняюсь к тунелю.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах

Или прописать srcnat на микроте, чтобы все пришедшие на микрот запросы предназначенные для рдп маскарадились, в свою очередь серв рдп видел ип микрота, тогда всё будет

Ссылка на сообщение
Поделиться на других сайтах
16 часов назад, Kiano сказал:

Или прописать srcnat на микроте, чтобы все пришедшие на микрот запросы предназначенные для рдп маскарадились, в свою очередь серв рдп видел ип микрота, тогда всё будет

Можно подробнее?

Ссылка на сообщение
Поделиться на других сайтах

Я бы не стал так делть ввиду того, что при макарадинге внешний IP пришедшего сменится на  внутренний IP микрота и во всех логах сервака будет светиться IP микрота. Тогда для нормальнго разбора инцидентов потребуется еще и флов с микрота сливить.

Самым безопасным считаю поднятие шифрованного туннеля до микрота каждому юзеру со своим IP. тем более это гребаный РДП, который вечно брутят.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від GekaPeka
      mikrotik RB 40111GS+RM новый, 7500 грн.
    • Від DjBodya
      Вітаю.
      Одразу попереджу, що з мікротіками не новачок. Знаю, як з ними поводитись і налаштовувати.
      Купив собі це диво. І не можу налаштувати. 
      Скидаю в нуль, або просто включаю, без різниці. Буває вдається навіть підключитися по winbox. Потім вилітає в помилку.
      Зазвичай одразу System LED переходить в режим блимаючого червоного і все. 
      DHCP не роздає. По МАС підключитися не вдається.
    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
×
×
  • Створити нове...