Перенаправление трафика в vpn

Тема в разделе "Маршрутизация", создана пользователем vakym, 29 мар 2016.

  1. vakym

    vakym Новый участник

    Доброго времени суток!

    Дано:

    RouterBOARD 750G r2. На нём поднят l2tp/ipsec сервер(клиенты получают адреса вида 192.168.67.xxx). Имеет белый ip от провайдера 176.ххх.ххх.ххх
    К роутеру по vpn подключается удалённый сервер. На сервере есть rdp и web сервер.

    Задача:
    При обращении на белый ip роутера по определенному порту перенаправлять трафик через vpn на удалённый сервер.

    Для этого на роутере прописал след правила:


    Код:
     chain=dstnat action=dst-nat to-addresses=192.168.67.4 to-ports=443
          protocol=tcp dst-address=176.xxx.xxx.xxx in-interface=ether1-gateway
          dst-port=443 log=no log-prefix=""
    chain=dstnat action=dst-nat to-addresses=192.168.67.4 to-ports=24025
          protocol=tcp dst-address=176.xxx.xxx.xxx in-interface=ether1-gateway
          dst-port=24025 log=no log-prefix=""
    
    chain=dstnat action=dst-nat to-addresses=192.168.67.4 to-ports=80
          protocol=tcp dst-address=176.xxx.xxx.xxx in-interface=ether1-gateway
          dst-port=80 log=no log-prefix=""
    
    где 192.168.67.4 - ip адрес удаленного сервера в впн.
    Проблема в том, что при таких правилах подключение по RDP работает нормально.
    А вот доступ к ресурсам веб сервера отсутствует.
    Если обращаться по локальному ip https://192.168.67.4, то всё нормально открывается.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    А у удаленного сервера что является гейтвеем?
    Иными словами, не получается ли так, что сервер отвечает не туда, куда вы ожидаете?
     
  3. vakym

    vakym Новый участник

    Если посмотреть свойства подключения на удаленном сервере (под windows), то поле gateway пустое. И так же стоит галочка "использовать по умолчанию шлюз удаленной сети".
    [​IMG]

    Наверное проблема в этом. Тогда вопрос в том как настроить DHCP в микротике, чтобы при подключении клиента он выдавал ему не только ip но и gateway.
    p.s. gateway должен быть адресом микротика в впн?


    Дополнение.
    Если на удаленном сервере не правильный gateway, то почему тогда из локальной сети роутера web ресурсы сервера доступны(по ip удаленного сервера в vpn)?


    Дополнение 2
    В принципе вопрос более не актуален, т.к. почему-то все заработало. Печалит, что не понятно почему не работало(

    Дополнение 3
    Разобрался что к чему. Проблема была с http://wiki.mikrotik.com/wiki/Hairpin_NAT
    Так же нашёл вашу тему на форуме. Но к сожалению предложенное решение у меня не заработало. Можете подсказать почему?
    Код:
    add action=masquerade chain=srcnat out-interface=ether1-gateway
    add action=dst-nat chain=dstnat dst-address=176.ххх.ххх.ххх dst-port=443 \
        in-interface=ether1-gateway protocol=tcp to-addresses=192.168.67.4 \
        to-ports=443
    add action=dst-nat chain=dstnat dst-address=176.ххх.ххх.ххх dst-port=80 \
        in-interface=ether1-gateway protocol=tcp to-addresses=192.168.67.4 \
        to-ports=80
    add action=masquerade chain=srcnat dst-address=192.168.67.4 dst-port=443 \
        out-interface=bridge-local protocol=tcp src-address=192.168.64.0/24
    add action=masquerade chain=srcnat dst-address=192.168.67.4 dst-port=80 \
        out-interface=bridge-local protocol=tcp src-address=192.168.64.0/24
    
     

    Вложения:

    • 2.jpg
      2.jpg
      Размер файла:
      43,9 КБ
      Просмотров:
      3
    Последнее редактирование: 29 мар 2016
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Добрый день.
    Не вижу ошибок в конфигурации. Но может что-то упускаю. Нарисуйте, если не сложно схему.
     
  5. vakym

    vakym Новый участник

    Уже разобрался. Убрал в правилах
    Код:
    out-interface=bridge-local
    и все заработало.

    Спасибо за помощь!