classic.ISPforum.cz

Zdravím, mám asi lehkou otázku na vás, mám dva MK, kde do MK 1 s IP 192.168.1.254 vše Ok a není třeba nic nastavit, ale druhý který je s tím prvním propojen přes kabel kde v MK je je na eth3 s IP 10.0.0.126 a ten MK 2 má proti 10.0.0.126, z toho prvního se do nej dostanu pouze telnetem.. Abych to upřesnil přes vzdálůenou plochu se dostanu do sítě 192.168.1.0/24 kde bych chtel z toho dotycneho PC se dostat i do toho druhého MK 2, co bych tam mel nastavit aby to šlo?

podľa tvojho nekompletného popisu typujem ponastavovať správne gateway a routes najmä v MK2

Tady jsem nakreslil zhruba jak to vyúadá..Chtel bych proste z te sítě 192.168.0.1/24 kde se dokážu připiojit na vzdalenou plochu winserveru a odtud spustit MK a přes telnet se do MK 2 dostanu ale přes IP lokalní 10.0.0.125 ne...Jinak samozřejme že bych mohl nastavit blbej O2 modem jako bridge a aby vše řešil rb, ale čekáme na reklamovaný jiný modem, tento neudrží díl jak 3 minuty jakékoliv nastavení, takže veřejka tam samozřejně je ale neudrží jí nastavenou. Ani port forwarding..Do té doby bych púotřeboval přistupovat zatím takhle..

Do MK2 můžeš zkusit napsat:
/ip route add dst-address=192.168.0.0/24 gateway=10.0.0.126
Poku po tomhle ti spojení na MK2 z těch woken ožije, ale nedostaneš s ena nic jiného, pak to můžeš řešit v MK1:
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether3
Jiná možnost je, že máš v MK1 nebo MK2 nějaké firewall pravidla to blokující...

Jinak, add obrázek - od O2 budeš mít určitě hromadu veřejných IPv6 adres, zhruba 9223372036854775808, tak je stačí začít používat (pokud jako PPPoE ukončovací prvek bude Mikrotik, tak jich jde použít jen polovička).

Nejak to nejde, tady jsem vypsal NAT
;;; Mikrotik dsNAT
chain=dstnat action=dst-nat to-addresses=192.168.1.254 to-ports=8291
protocol=tcp dst-port=8291 log=no log-prefix=""

1 ;;; VPN dsNAT
chain=dstnat action=dst-nat to-addresses=192.168.1.254 to-ports=1723
protocol=tcp dst-port=1723 log=no log-prefix=""

2 chain=srcnat action=masquerade out-interface=Eth3_O2 log=no log-prefix=""

3 ;;; kamery dsNAT
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=18004
protocol=tcp dst-port=18004 log=no log-prefix=""

4 ;;; masquarade
chain=srcnat action=masquerade to-addresses=10.0.0.125
out-interface=Ether1_Uplink log=no log-prefix=""

5 ;;; NAT provozu pri preklopeni linky z air na O2
chain=srcnat action=add-src-to-address-list address-list=10.0.0.125
address-list-timeout=0s out-interface=Eth3_O2 log=no log-prefix=""

6 ;;; remote desktop dsNAT
chain=dstnat action=dst-nat to-addresses=192.168.1.250 to-ports=3389
protocol=tcp in-interface=Ether1_Uplink log=no log-prefix=""

a v ip pravidlech nemám nic.

v tom Mk je v route

[admin@MikroTik] /ip> route print

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADC 10.0.0.0/24 10.0.0.125 bridge-local 0
1 A S 192.168.1.0/24 10.0.0.126 1

Tu routu "1 A S 192.168.1.0/24 10.0.0.126 1" v MK2 můžeš vyhodit, protože ti to ošetří NAT na MK1 pod:
2 chain=srcnat action=masquerade out-interface=Eth3_O2 log=no log-prefix=""

A jinak, rozbíjí ti to první NAT pravidlo:
;;; Mikrotik dsNAT
chain=dstnat action=dst-nat to-addresses=192.168.1.254 to-ports=8291
protocol=tcp dst-port=8291 log=no log-prefix=""
Jakékoliv spojení mířící na winbox, které jde přes MK1 se ti přesměruje na MK1, proto z té RDP plochy s enedostaneš winboxem na MK2.
Podobně blbé máš to druhéí pravidlo.
A zřejmě jsi to tak nabastlil kvůli tomu přesměrování RDP v pravidle 6, které máš blbě a unáší všechna příchozí TCP spojneí n router směrme na ten RDP port - chudák server.

Aha a jak bych si tim pomohl abych neprisel o rdp a jina pravidla? Staci je presu out vic dolu?

Musíš u toho RDP přesměrovat jen port 3389 na ten Win server a ne všechny příchozi TCP porty na ten 3389 na RDP krámu (čili nahradit to-ports=3389 za dst-port=3389).
Takže něco jako:
/ip firewall nat add action=dst-nat chain=dstnat dst-port=3389 in-interface=Ether1_Uplink protocol=tcp to-addresses=192.168.1.250
Pak ti bude fungovatpřístup do toho R1 normálně a nebudeš ani prznit jiná forwardovaná spojneí.