Mikrotik проброс порта

[Туйон 1,313]

Неожиданно столкнулся с вроде бы простой проблемой, но ломаю голову уже который час.

Имеется сеть предприятия.

Несколько интерфейсов, по которым подсети получают интернет.

На каждый интерфейс созданы правила scr-nat, по которым юзеры получают инет.

Предположим, что у нас есть доступ из подсети 192.168.1.10 со шлюзом 192.168.1.1

На другом интерфейсе этого же микротика имеется некое устройство с адресом 192.168.0.100, шлюз 192.168.0.1

Роутинг настроен, пинг на устройство есть.

Однако, нужно попасть на устройство по порту 80 так, чтобы это устройство видело запрос не от 192.168.1.10 (через роутинг) а от шлюза 192.168.0.1

В своё время какой-то умник настроил там удаленный доступ таким макаром, что в списке разрешенных есть только адрес шлюза, потому что в роли сервера была машина с виндовс7 и админили прямо оттуда.

 

Какое правило использовать?

Edited 2021-07-05 14:29:18 by Туйон

[Dimkers 1,615]

52 минуты назад, Туйон сказал:

Какое правило использовать?

src-nat

 

52 минуты назад, Туйон сказал:

На каждый интерфейс созданы правила scr-nat, по которым юзеры получают инет.

Указать адрес, куда(в какой IP) будут натится.

[max_m 92]

Попробуй сделать так 

add action=masquerade chain=srcnat dst-address=192.168.0.100 src-address=192.168.1.0/24

и все.

 

[max_m 92]

ну или если тебе конкретно на 80 порт надо чтобы виделось от ип 192.168.0.1, а по всем остальным портам от 192.168.1.10 то тогда так

add action=masquerade chain=srcnat dst-address=192.168.0.100 dst-port=80 protocol=tcp src-address=192.168.1.10

[Dimkers 1,615]

Только вы уточняйте, что маскарад более ресурсоемкий и используется чаще для динамических IP, пуляя пакеты тупо в ифейс.

[max_m 92]

Я так понимаю что это тупо для управления чем то и нагрузка там минимальна.  Ну если для нагрузки то тоды по другому тоды так

add action=src-nat chain=srcnat dst-address=192.168.0.100 src-address=192.168.1.10 to-addresses=192.168.0.1

[DVSGROUP 127]

Используйте src-nat вместо metmap при пробросе порта.

 

Чтоб трафик натился во втрую сетку, используйте masquerade.

[Dimkers 1,615]

1 час назад, max_m сказал:

нагрузка там минимальна. 

Дело не только в нагрузке. А в принципе для чего это используется.

53 минуты назад, DVSGROUP сказал:

Используйте src-nat вместо metmap при пробросе порта.

src нат для проброса порта? Наверное dst-nat?

54 минуты назад, DVSGROUP сказал:

Чтоб трафик натился во втрую сетку, используйте masquerade.

Трафик натится будет и при src-nat. Разницу между маскарадингом и src можете сами нагуглить.

[DVSGROUP 127]

В 05.07.2021 в 21:53, Dimkers сказал:

src нат для проброса порта? Наверное dst-nat?

верно, dst

 

В 05.07.2021 в 21:53, Dimkers сказал:

Трафик натится будет и при src-nat. Разницу между маскарадингом и src можете сами нагуглить.

 

Трафик можно как пробросить одним из правил dst-nat / netmap, так и натить.

 

В случае с dst - роутер не будет передавать IP клиента. В случае с netmap - отдаст IP клиента.

 

В случае с nat - аналогично dst-nat.

[Dimkers 1,615]

3 часа назад, DVSGROUP сказал:

Трафик можно как пробросить одним из правил dst-nat / netmap, так и натить.

Это все НАТ. Вдруг вы не в курсе 

3 часа назад, DVSGROUP сказал:

В случае с dst - роутер не будет передавать IP клиента. В случае с netmap - отдаст IP клиента.

 

В случае с nat - аналогично dst-nat.

Читайте внимательней. Ему нужно как раз в обратную сторону, из сети к серверу. И чтоб в логах на сервере светился не адрес ПК из сетки, а адрес шлюза с НАТом

Т.е. обычная замена src IP в пакете, которая делается как раз через src-nat 

 

[Kiano 616]

По принципу хеирпин нат посмотри

Если не дойдет - пиши, растолкую

Это не редкая проблема ))

[Туйон 1,313]

Возник другой вопрос по данной теме.

Имеется микрот.

Имеется сервер с RDP, подключен к микроту.

На сервере настройка сетевухи 192.168.1.100, шлюза нет! (может дело в этом?)

Т.е. сервер не получает доступ в интернет, к нему просто обращаются из локалки на адрес 192.168.1.100 и подключаются RDP.

Стал вопрос чтобы юзеры могли подключаться откуда угодно из мира.

На микроте подключен интернет, соединение PPPoE, статичский ай-пи.

 

Делал так - не работает.

/ip firewall nat
add action=netmap chain=dstnat dst-port=3389 in-interface=pppoe protocol=tcp to-addresses=192.168.1.100 to-ports=3389
add action=masquerade chain=srcnat out-interface=pppoe

 

И пробовал другие варианты, типа вместо маскарада скрнат, и вместо нетмапа дстнат - не подключается.

 

В чем проблема? Сервак получает интернет через другую сетевуху, на той сетевухе шлюз прописан, т.е. 0.0.0.0/0 на другой провайдер.

На сетевухе которая смотрит на микротик - шлюза нет.

Но разве оно не должно работать, ведь и сервер и микрот в одной подсети 192.168.1.100 (сервер) и 192.168.1.101 (микрот).

 

Если нужен маршрут на сервере, то какой?

Я так понимаю, маршруту 0.0.0.0/0 на другой сетевухе (где интернет от другого провайдера) нужно поднять метрику.

А для сетевухи, которая смотрит на микротик, прописать маршрут с меньшей мерикой.
 

[linkar 59]

1 час назад, Туйон сказал:

Если нужен маршрут на сервере, то какой?

Я так понимаю, маршруту 0.0.0.0/0 на другой сетевухе (где интернет от другого провайдера) нужно поднять метрику.

А для сетевухи, которая смотрит на микротик, прописать маршрут с меньшей мерикой.

Насколько я помню, маршрут на подсеть, отведенную под vpn. Метрики не надо трогать, при поиске маршрута, как и в linux, сначала смотрится маска сети.

[tkapluk 922]

10 часов назад, Туйон сказал:

Но разве оно не должно работать, ведь и сервер и микрот в одной подсети 192.168.1.100 (сервер) и 192.168.1.101 (микрот).

не должно. На сервер прилетает пакет с src адресом рдп-клиента, а не микрота. Вот сервер и отвечает на  src адрес через второго провайдера. 

 

Лучше загони пользователей в ВПН, и пусть юзают РДП как по локалке. 

[Dimkers 1,615]

Или прописать на серваче вручную роуты к сетям абонов через микротик. Но я тоже больше склоняюсь к тунелю.

Edited 2021-08-05 12:41:09 by Dimkers

[Kiano 616]

Или прописать srcnat на микроте, чтобы все пришедшие на микрот запросы предназначенные для рдп маскарадились, в свою очередь серв рдп видел ип микрота, тогда всё будет

[Туйон 1,313]

16 часов назад, Kiano сказал:

Или прописать srcnat на микроте, чтобы все пришедшие на микрот запросы предназначенные для рдп маскарадились, в свою очередь серв рдп видел ип микрота, тогда всё будет

Можно подробнее?

[Dimkers 1,615]

Я бы не стал так делть ввиду того, что при макарадинге внешний IP пришедшего сменится на  внутренний IP микрота и во всех логах сервака будет светиться IP микрота. Тогда для нормальнго разбора инцидентов потребуется еще и флов с микрота сливить.

Самым безопасным считаю поднятие шифрованного туннеля до микрота каждому юзеру со своим IP. тем более это гребаный РДП, который вечно брутят.

Edited 2021-08-06 08:53:33 by Dimkers