classic.ISPforum.cz

Ahojte

mám nasledovný problém. Mám 2 kancelarie. Oboch je pripojenie na net ale len do jednej mi vie poskytovatel dať verejnu IP. Obe kancelarie mam prepojenie cez VPN. vid. obrazok


Co sa tyka pc tak z oboch pc vidim diskove pole, aj celu siet aj pc

Problem nastava ked chcem dostat diskove pole na verejnu IP aby som to videl z vonka

sice pakety mi idu ale akosi ma neprenatuje.
Viete mi poradit co a ako to nastavit ?

ja som spravil natovacie pravidlo ale nejak asi je spatne ?

Dakujem za kazdu radu

Sice to není příčina problému, ale doporučuji zavčasu přeadresovat subnety 172.32.0.0/24 a 172.10.0.0/24 na nějaký rozsah dle RFC 1918. 172.32.0.0/24 ani 172.10.0.0/24 nejsou privátní rozsahy, jeden je součástí AS21928 (172.32.0.0/11) a má ho přidělený americký T-Mobile, druhý zase AS7132 (172.0.0.0/12) americké AT&T

Zkusím napovědět. Co dělá DST-NAT? Mění cílovou adresu. Pak to projde routovací tabulkou ... a nejspíš vcelku správně VPNkou na druhou stranu. Jenže co udělá ta druhá strana? Odpoví na zdrojovou adresu - kudy? A z jaké adresy?

PřeIPčkování dle "cerva" doporučuji také ...

Dakujem za radu, uz som to zmenil na iny adresný rozsah.

Ale preco to nejde ? co je tam zle ?

ludvik píše:Zkusím napovědět. Co dělá DST-NAT? Mění cílovou adresu. Pak to projde routovací tabulkou ... a nejspíš vcelku správně VPNkou na druhou stranu. Jenže co udělá ta druhá strana? Odpoví na zdrojovou adresu - kudy? A z jaké adresy?

PřeIPčkování dle "cerva" doporučuji také ...

No po dst-nat chapem spravne, ale ako to vyrisit ? cez src-nat ? alebo cez mangle pre a postrouting ?

Skoda ze cez connections nevidim co a ako ide ? ako by som to vedel vysledovat ?

Dik

Použij torch, nebo packet sniffer a uvidíš. Ale i v connections bys měl, jen jako unreplied.

Jestli by ale nebylo vůbec nejlepší to řešit pomocí DynDNS služby. Tedy pokud máš problém jen s dynamickou IP, ale příchozí provoz možný je.

Zatím se budu držet bajky: Dej hladovému rybu, nakrmíš ho na jeden den. Nauč ho rybařit, hladovět už nebude.

Pekna myslienka

Skusim sa s tym potrapit,

Problem je v tom ze ISP2 tak tam je za verejnou ip dalsich x zakaznikov. Nemá dynamicku ip pre daneho zakaznika

Preto som to zacal riesit cez VPN

Tak som to pozeral

mam spravené takto:


ale ani tak mi to nejde sice v tourch mi uz dava ip spravne ale aj tak mi to nejde

Podívej se na packet flow. K nalezení na wiki.mikrotik.com

SRC-NAT je na konci toku. DST-NAT naopak na začátku. Takže to pravidlo SRC-NAT nezabere, protože tam už ta veřejná není.

Skusal som tam dat vzdialenu adresu VPN ale ani tak mi to neslo



Vypol som aj port ale ani nic,

Skusim to zhrnut ci to chapem spravne

Mam net napr mobil Mojaverejna:5050 ide na verejnuMK1:5050 tu to dst-nat posle na 10.44.0.100:5000 po tadialto by som to mal mat spravne
teraz by to malo ist naspat a to 10.44.0.100:5000 na IP vpn a 10.29.0.2 a z toho by to malo ist von

Dobre to chápem
takze na tom hlavnom routry musim mat 2 pravidla jedno dst-nat a druhe scr-nat

V com sa mylim ?

musíš to srcnatnout za IP adresu toho konce VPNky. Prostě aby si ten druhý myslel, že to jde z toho prvního.

Ale možná by bylo lepší (na tom druhém mikrotiku) si hrát s tímto: http://wiki.mikrotik.com/wiki/Policy_Base_Routing Alespoň ten server bude vědět, kdo s ním komunikuje.
Prostě něco ve smyslu: co přijde z VPNky, to tam taky vždy vrať.
Nikdy jsem to ovšem nepoužil, tak ti přesně už tuplem neporadím.

Inspirace také třeba zde: viewtopic.php?t=12079

Aby se na R2 vracelo do VPN (ehm, PPTP už nepatří mezi VPN cca 15 let) co z něj přišlo, tak cca na R2:
# pomocná routovací tabulka do tunelu
/ip route
add gateway=pptp routing-mark=to_vpn
# nové spojení došlé tunelem si omarkuj
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new in-interface=pptp new-connection-mark=from_vpn
# pokud má spojení marku, že přišlo tunelem a paket nepřichází tunelem, tak je to odpověď a vnuť ji route tabulku do tunelu
add action=mark-routing chain=prerouting connection-mark=from_vpn in-interface=!pptp new-routing-mark=to_vpn

Ahoj co tam patri, ja som potreboval nejake easy a rychle riesenie bez komplikacii .

Ďakujem za vysvetlenie problemu. Všetko funguje ako ma

Dakujem Vam