вторник, 8 ноября 2016 г.

Проброс портов через VPN в Mikrotik.

  Есть два офиса. В главном офисе имеется статический реальный внешний IP, к которому можно подключится  из-вне. В региональном представительстве - динамический IP и разные провайдеры интернета, которые могут меняться. К главному офису региональный подключен по VPN, в данном примере используется L2TP-соединение. Задача: пробросить порт в региональный офис, используя реальный IP главного офиса. Пробрасывать порт будем TCP 3333.

  Для этого создаем на главном офисе правило:
/ip firewall nat
add action=dst-nat chain=dstnat comment=dvr dst-address-list=wan dst-port=3333 protocol=tcp to-addresses=172.16.7.6
  Где "wan" - адрес лист который содержит список внешний IP главного офиса, "172.16.7.6" - IP виртуального интерфейса L2TP. Правило перенаправляет все запросы с wan-интерфейсов на порт 3333 в нужный нам впн-туннель.



  Теперь создаем правила в региональном офисе:
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=172.16.7.6 dst-port=3333 protocol=tcp to-addresses=192.168.1.3
  Первое правило ловит пакеты с VPN с нужного нам порта и перенаправляет в названичение - 192.168.1.3 (сервер видеонаблюдения).
  Для того, что-бы сервер видеонаблюдения отвечал в нужный нам интерфейс, завернем весь его трафик в VPN:
/ip route
add distance=1 gateway=172.16.7.1 routing-mark=dvr
  Создадим маршрут, который указывает что весь трафик с routing-mark=dvr завернуть на 172.16.7.1 - наш виртуальный IP L2TP- сервера.

PPP Secret с сервера L2TP

  Вторым правилом завернем трафик нашего сервера в этот маршрут:
/ip route rule
add action=lookup-only-in-table src-address=192.168.1.3/32 table=dvr
  Таком проброс можно маштабировать: пробрасывать порты через несколько последовательных VPN-туннелей.

Источник:
друг с ником IO (спасибо за подсказку)

Подписаться на новые статьи.

Комментариев нет:

Отправить комментарий