Перейти до

Mikrotik - 2 PPTP - dstnat

FreeLine

Автор: FreeLine,
в Софт

 Share Подписчики 0

Рекомендованные сообщения

FreeLine

FreeLine 1

Опубликовано:
Опубликовано:

К главном rb750 (192.168.1.1) подключены еще два rb750 через PPTP (192.168.11.1 и 192.168.12.1), за ними висят DVR.

Все сделано по этому материалу. С главного офиса все работает, проблем никаких нет. Но вот задача, нужно пробросить порты на 2 DVR-a, делаю dstnat на 192.168.11.111:9000 и ничего не работает. Может кто знает как побороть?

Ссылка на сообщение
Поделиться на других сайтах
FreeLine

FreeLine 1

Опубліковано:
  • Автор
Опубліковано:

Видно что правило dst-nat работает, из 192.168.1.1 пинг на 192.168.11.111 и 192.168.12.50 идет нормально. 

Вот такие правила:

 1   ;;; Stolovka
     chain=dstnat action=dst-nat to-addresses=192.168.11.111 to-ports=9000 
     protocol=tcp dst-address=93.*.*.* dst-port=9000 

 2   ;;; Lux
     chain=dstnat action=dst-nat to-addresses=192.168.12.15 to-ports=9000 
     protocol=tcp dst-address=93.*.*.* dst-port=9001 

 3   ;;; Stolovka WEB
     chain=dstnat action=dst-nat to-addresses=192.168.11.111 to-ports=80 
     protocol=tcp dst-address=93.*.*.* dst-port=80

Такие маршруты:

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          93.*.*.*                  1
 1 ADC  93.*.*.*/29        93.*.*.*        ether1-gateway            0
 2 ADC  192.168.1.0/24     192.168.1.1     ether4-local-local        0
 3 ADC  192.168.2.0/24     192.168.2.1     ether3-wifi-local         0
 4 ADC  192.168.5.2/32     192.168.5.1     filial                    0
 5 ADC  192.168.5.4/32     192.168.5.3     filial1                   0
 6 A S  192.168.11.0/24                    192.168.5.4               1
 7 A S  192.168.12.0/24                    192.168.5.2               1
Ссылка на сообщение
Поделиться на других сайтах
John_Doe

John_Doe 301

Опубліковано:
Опубліковано: (відредаговано)

К главном rb750 (192.168.1.1) подключены еще два rb750 через PPTP (192.168.11.1 и 192.168.12.1), за ними висят DVR.

Все сделано по этому материалу. С главного офиса все работает, проблем никаких нет. Но вот задача, нужно пробросить порты на 2 DVR-a, делаю dstnat на 192.168.11.111:9000 и ничего не работает. Может кто знает как побороть?

Ну так этож просто

 

на RB750 которая 192.168.1.1

для DVR1

chain=srcnat action=netmap to-addresses= 192.168.11.111 to-ports=9000 protocol=tcp dst-address= {WAN-Real-IP} dst-port=9000
 

для DVR2

chain=srcnat action=netmap to-addresses= 192.168.12.111 to-ports=9000 protocol=tcp dst-address= {WAN-Real-IP} dst-port=9001

 

после этого цепляясь на реальный ип порт 9000 попадаем на DVR1 а если на порт 9001 попадаем на DVR2 это для проброса снаружи

а изнутри у вас ничего пробрасывать не нужно. у вас должна быть настроена маршрутизация и все будет работать без каких либо пробросов

Відредаговано John_Doe
Ссылка на сообщение
Поделиться на других сайтах
FreeLine

FreeLine 1

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

 

К главном rb750 (192.168.1.1) подключены еще два rb750 через PPTP (192.168.11.1 и 192.168.12.1), за ними висят DVR.

Все сделано по этому материалу. С главного офиса все работает, проблем никаких нет. Но вот задача, нужно пробросить порты на 2 DVR-a, делаю dstnat на 192.168.11.111:9000 и ничего не работает. Может кто знает как побороть?

Ну так этож просто

 

на RB750 которая 192.168.1.1

для DVR1

chain=srcnat action=netmap to-addresses= 192.168.11.111 to-ports=9000 protocol=tcp dst-address= {WAN-Real-IP} dst-port=9000
 

для DVR2

chain=srcnat action=netmap to-addresses= 192.168.12.111 to-ports=9000 protocol=tcp dst-address= {WAN-Real-IP} dst-port=9001

 

после этого цепляясь на реальный ип порт 9000 попадаем на DVR1 а если на порт 9001 попадаем на DVR2 это для проброса снаружи

а изнутри у вас ничего пробрасывать не нужно. у вас должна быть настроена маршрутизация и все будет работать без каких либо пробросов

 

 

Изнутри все итак работает, а вот извне не хочет, пусть то dst-nat или netmap. Не пойму, что может быть.

Может как-то с этим связано:

 > tool traceroute 192.168.11.111
 # ADDRESS                                 RT1   RT2   RT3   STATUS              
 1 192.168.5.4                             2ms   2ms   2ms                       
 2 192.168.11.111                          3ms   3ms   2ms
Відредаговано FreeLine
Ссылка на сообщение
Поделиться на других сайтах
John_Doe

John_Doe 301

Опубліковано:
Опубліковано: (відредаговано)

Ну с трассой все в порядке что там с ней  связано?

Смотрите фаирволы. torch включите посмотрите как пакеты ходят .

проверьте чтоб трафик от девайсов ваших в инет не резался

И маршрутизацию проверьте, вполне может быть что пакет пришел,пробросилса а ответ от девайса из филиала ушел не через впн на главный офис а в дефолт на удаленной стороне

Відредаговано John_Doe
Ссылка на сообщение
Поделиться на других сайтах
John_Doe

John_Doe 301

Опубліковано:
Опубліковано:

И мы видим что пакеты через впн приходят к девайсу, а уходят от девайса через какой то другой интерфейс. скорее всего через тот на котором дефолтный маршрут микротика в филиале

Ссылка на сообщение
Поделиться на других сайтах
FreeLine

FreeLine 1

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

А как можно завернуть пакеты от DVR обратно в vpn?

Добавил на филиале  add dst-address=82.*.*.10 gateway=192.168.5.3

И ответы пошли, но соответственно только если запрос с 82.*.*.10.

Как сделать что бы пакеты от dvr-а уходили на 192.168.5.3???

Відредаговано FreeLine
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...