Есть два офиса. В главном офисе имеется статический реальный внешний IP, к которому можно подключится из-вне. В региональном представительстве - динамический IP и разные провайдеры интернета, которые могут меняться. К главному офису региональный подключен по VPN, в данном примере используется L2TP-соединение. Задача: пробросить порт в региональный офис, используя реальный IP главного офиса. Пробрасывать порт будем TCP 3333.
Для этого создаем на главном офисе правило:
Теперь создаем правила в региональном офисе:
Для того, что-бы сервер видеонаблюдения отвечал в нужный нам интерфейс, завернем весь его трафик в VPN:
Для этого создаем на главном офисе правило:
/ip firewall natГде "wan" - адрес лист который содержит список внешний IP главного офиса, "172.16.7.6" - IP виртуального интерфейса L2TP. Правило перенаправляет все запросы с wan-интерфейсов на порт 3333 в нужный нам впн-туннель.
add action=dst-nat chain=dstnat comment=dvr dst-address-list=wan dst-port=3333 protocol=tcp to-addresses=172.16.7.6
Теперь создаем правила в региональном офисе:
/ip firewall natПервое правило ловит пакеты с VPN с нужного нам порта и перенаправляет в названичение - 192.168.1.3 (сервер видеонаблюдения).
add action=dst-nat chain=dstnat dst-address=172.16.7.6 dst-port=3333 protocol=tcp to-addresses=192.168.1.3
Для того, что-бы сервер видеонаблюдения отвечал в нужный нам интерфейс, завернем весь его трафик в VPN:
/ip route
add distance=1 gateway=172.16.7.1 routing-mark=dvr
Создадим маршрут, который указывает что весь трафик с routing-mark=dvr завернуть на 172.16.7.1 - наш виртуальный IP L2TP- сервера.
Вторым правилом завернем трафик нашего сервера в этот маршрут:
Таком проброс можно маштабировать: пробрасывать порты через несколько последовательных VPN-туннелей. |
| PPP Secret с сервера L2TP |
/ip route rule
add action=lookup-only-in-table src-address=192.168.1.3/32 table=dvr
Источник:
друг с ником IO (спасибо за подсказку)
|
Подписаться на новые статьи. |
|
Здравствуйте. у меня есть вопрос по поводу VPN.
ОтветитьУдалитьна Микротике поднят VPN server l2tp/ipsec
Подключаться будут разные пользователи с разных устройств
4-5 Администраторов операционная система windows
2-3 Микротика как клиенты
20-30 простых пользователей для доступа к удаленному серверу 1с-клиента за микротиком головного офиса
задача такого рода что каждый клиент подключаясь к офису должен использовать свой локальный шлюз (доступ в интернет) из своей сети но иметь при этом доступ к серверу 1с-клиент
и Администраторы имеющие полный доступ к локальной сети, но так же использующие свой шлюз
это клиенты под Виндоус
Микротики должны подключаться к головному офису и иметь доступ к 1с-серверу клиенту
честно говоря голову сломал кучу всего переискал. денег на обучение нет а сделать нужно))) буд рад если поделитесь знаниями.
Что то у меня не сработало
ОтветитьУдалитьАналогично ... не работает
ОтветитьУдалитьавтор нагородил шляпу
ОтветитьУдалитьРаботает отлично, огромное спасибо!!!
ОтветитьУдалитьбред сивой кобылы
ОтветитьУдалитьничего не понятно
автор скорее всего что-то понимает но выразить свои мысли не может
сделал ещё проще!
ОтветитьУдалитьhttps://docs.google.com/spreadsheets/d/15zl2a-7SN_qr57PXa0gRZJsp3PBrdQke7NDtrbt7s7U/edit?usp=sharing
при этом на удаленном стоит не микротик
o08 спасибо - работает)! а у топикстартера что то не вышло)
ОтветитьУдалитьСпасибо за статью! Выручила и у меня заработало то, что никак не хотело работать через Mangle.
ОтветитьУдалить