Směrování portu skrz tunel

[goblin]

Zdravím na fóru,
mám takový zákeřný problém, už si nevím rady.
Více asi řekne obr. ale trochu se to pokusím popsat. Mám 2 RB každý má svoji veřejnou ip adresu, propojil jsem je pomocí EoIP dosadil ip adresy tunelu a zadal směrování do tabulky, každý RB má jiný rozsah sítě LAN. Když dám ping z PC1 na PC2 (i opačně) tak ping chodí, prostě ty sítě se mezi sebou vidí. Problém nastane když port 80 na PC1 nasměruji v MK2 do veřejné ip 88.X.X.2 tak to prostě nechodí, nmap na pc v internetu hlásí že port je filtrován, když tam dám port z PC2 tak to jde, ale přes tunel to neprojde . Na obou MK mám maškarádu:
MK1 chain=srcnat action=masquerade src-address=192.168.1.0/24
MK2 chain=srcnat action=masquerade src-address=192.168.2.0/24
MK2 port forward: chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=80 protocol=tcp dst-address=88.X.X.2 dst-port=80
Snad ten popis bude pochopitelný
Díky za každou radu.

[19marek19]

Ahoj,

vie s tymto niekto pomoct? Riesim podobny problem. Mam dve lokality, kazda je pripojena na internet cez moj router a cez VPN su obe lokality spojene. Vsetko funguje, pocitace v oboch lokalitach sa vidia. Na jednej strane mam z verejnej IP premapovane porty na moj router. Teraz by som potreboval premapovat port cez tunel na druhu stranu. Ked namapujem port v ramci toho routra na ktory je to zvonku pustene tak to ide, ked zmenim mapovanie na IP za tunelom tak to nefunguje. Nieco take ako obrazok v prispevku nadomnou... Da sa to nejako riesit?

[goblin]

Ahoj ještě jsem na to nepřišel a nikdo neporadil Budu zkoušet dál.

[19marek19]

Ja tiez skusam, ale zatial ziadny vysledok

[Majklik]

Máte problém v tom, že jak to přepošlete skrz tunel, tak odpověd od cíle (192.168.1.2) dorazí na MK1, a to ho pošle dle defualt routy do internetu, místo zpět do tunelu.

Dvě možná řešení:
a) Na MK2, kde se dělá DSTNAT mířící do tunelu, tak zároven na to spojení udělat i SRCNAT a venkovní zdrojovou IP přepsat na IP adresu MK2 v tom tunelu (10.10.10.2), pak MK1 to vrátí zpět správně a bude fungovat. Nevýhoda - cílová služba vidí všechna spojení zvenčí pod IP toho MK2, pokud to nevadí, je to nejjednodušší. Pokud vadí, tak:
b) Na MK2 udělat DSTNAT jako teď a na MK1 se musí použít policy routing. Nové spojení přicházející z tunelu označit pomocí connection mark, že spojení z tunelu a následně na spojení takto označená aplikuji policy routing, který bude vracející provoz směrovat do tunelu.

[19marek19]

Skusal som prve riesenie... v ip firewall nat mam 3 pravidla... srcnat, dstnat a maskaradu. Stale mi to nefunguje. Vidim ze cez dstnat idu packety ale cez srcnat pravidlo nejde nic. Maskarada samozrejme funguje v poriadku. Mohol by som poprosit ake pravidla mam dopisat do ip firewall nat?

[pedro4444]

hod vypis z toho natu lebo majklik ti to dobre napisal niekde mas chybu...

[19marek19]

0 chain=srcnat action=src-nat to-addresses=172.16.1.2 to-ports=222 protocol=tcp src-address=AAA.BBB.CCC.DDD dst-address=10.1.4.4 dst-port=222
1 chain=dstnat action=dst-nat to-addresses=192.168.19.2 to-ports=222 protocol=tcp dst-port=222
2 chain=srcnat action=masquerade src-address=192.168.2.0/24 out-interface=ether1

172.16.1.2 je adresa tunela na strane routera, ktory to preposiela
10.1.4.4 je adresa WAN toho isteho routera
AAA.BBB.CCC.DDD je verejna IP odkial sa pripajam a chcem to presmerovat do toho tunela
192.168.19.2:222 je IP kam sa chcem zvonku dostat

[Majklik]

V tom srcnat bych zkusil dát dst-address=172.16.1.2, protože dstnat se udělá jako první, pak se teprve srcnatuje.
Další bod je, že v tom MKčku ve firewallu, pokud blokuješ nějak forward směrem z Internetu dovnitř, tak musíš také povolit patřičný forward tohto spojení (a v něm už použít tu vnitřní cílovou IP po dstnatu, či-li 192.168.19.2 a ne 10.1.4.4, protože je pořadí operací dstnat, firewall, srcnat).

[19marek19]

samozrejme, ze na routry filtrujem vsetko zvonku, okrem tych dvoch portov, co mam presmerovane z vonku. Ked som nastavil toto:

chain=srcnat action=src-nat to-addresses=172.16.1.2

tak mi presmerovanie do tunelu zacalo fungovat. Akonahle nastavim src addres, dst. address alebo dst. port tak to prestane fungovat. Nebude to prepisovat adresu aj na ine spojenia, ktore pridu zvonku??? napriklad ten druhy port? Da sa to prepisovanie nastavit len na to jedno spojenie, ktore ide zvonku, teda to co teraz funguje a ostatne nech necha tak?

[pedro4444]

mozno by bodol nejaky read account a vedeli bysme sa pohnut dalej bo takto je to vazne beh na dlhe trate...

[19marek19]

Ok, ak chces a mozes, spravim ti ucet a poslem ti ho cez PM.

[19marek19]

Takze problem vyrieseny. Uz som pochopil ake adresy su v packete, po dstnat a ked ich dam do srcnat tak to funguje len na to jedno spojenie. Dakujem za pomoc.

chain=srcnat action=src-nat to-addresses=192.168.2.1 protocol=tcp dst-address=192.168.19.200 dst-port=3389

toto mi funguje

[pedro4444]

Takze problem vyrieseny. Uz som pochopil ake adresy su v packete, po dstnat a ked ich dam do srcnat tak to funguje len na to jedno spojenie. Dakujem za pomoc.

chain=srcnat action=src-nat to-addresses=192.168.2.1 protocol=tcp dst-address=192.168.19.200 dst-port=3389

toto mi funguje

oki ked uz si to vyriesil uz netreba ten read ucet...