forward ip cez vpn

[zvukarmiso]

Ahojte

mám nasledovný problém. Mám 2 kancelarie. Oboch je pripojenie na net ale len do jednej mi vie poskytovatel dať verejnu IP. Obe kancelarie mam prepojenie cez VPN. vid. obrazok

Co sa tyka pc tak z oboch pc vidim diskove pole, aj celu siet aj pc

Problem nastava ked chcem dostat diskove pole na verejnu IP aby som to videl z vonka

sice pakety mi idu ale akosi ma neprenatuje.
Viete mi poradit co a ako to nastavit ?

ja som spravil natovacie pravidlo ale nejak asi je spatne ?

Kód: Vybrat vše

chain=dstnat action=dst-nat to-addresses=172.32.0.100 to-ports=5000
      protocol=tcp dst-address=VerejnaIP_(wanpublicIP) dst-port=5050 log=no
      log-prefix=""


Dakujem za kazdu radu

[cerva]

Sice to není příčina problému, ale doporučuji zavčasu přeadresovat subnety 172.32.0.0/24 a 172.10.0.0/24 na nějaký rozsah dle RFC 1918. 172.32.0.0/24 ani 172.10.0.0/24 nejsou privátní rozsahy, jeden je součástí AS21928 (172.32.0.0/11) a má ho přidělený americký T-Mobile, druhý zase AS7132 (172.0.0.0/12) americké AT&T

[ludvik]

Zkusím napovědět. Co dělá DST-NAT? Mění cílovou adresu. Pak to projde routovací tabulkou ... a nejspíš vcelku správně VPNkou na druhou stranu. Jenže co udělá ta druhá strana? Odpoví na zdrojovou adresu - kudy? A z jaké adresy?

PřeIPčkování dle "cerva" doporučuji také ...

[zvukarmiso]

Dakujem za radu, uz som to zmenil na iny adresný rozsah.

Ale preco to nejde ? co je tam zle ?

[zvukarmiso]

Zkusím napovědět. Co dělá DST-NAT? Mění cílovou adresu. Pak to projde routovací tabulkou ... a nejspíš vcelku správně VPNkou na druhou stranu. Jenže co udělá ta druhá strana? Odpoví na zdrojovou adresu - kudy? A z jaké adresy?

PřeIPčkování dle "cerva" doporučuji také ...

No po dst-nat chapem spravne, ale ako to vyrisit ? cez src-nat ? alebo cez mangle pre a postrouting ?

Skoda ze cez connections nevidim co a ako ide ? ako by som to vedel vysledovat ?

Dik

[ludvik]

Použij torch, nebo packet sniffer a uvidíš. Ale i v connections bys měl, jen jako unreplied.

Jestli by ale nebylo vůbec nejlepší to řešit pomocí DynDNS služby. Tedy pokud máš problém jen s dynamickou IP, ale příchozí provoz možný je.

Zatím se budu držet bajky: Dej hladovému rybu, nakrmíš ho na jeden den. Nauč ho rybařit, hladovět už nebude.

[zvukarmiso]

Pekna myslienka

Skusim sa s tym potrapit,

Problem je v tom ze ISP2 tak tam je za verejnou ip dalsich x zakaznikov. Nemá dynamicku ip pre daneho zakaznika

Preto som to zacal riesit cez VPN

[zvukarmiso]

Tak som to pozeral

mam spravené takto:

Kód: Vybrat vše

chain=dstnat action=dst-nat to-addresses=10.44.0.100 to-ports=5000 protocol=tcp dst-address=verejnaIP dst-port=5050 log=no
      log-prefix=""

chain=srcnat action=src-nat to-addresses=verejnaIP to-ports=5050 protocol=tcp dst-address=10.44.0.100 dst-port=5000 log=no
      log-prefix=""


ale ani tak mi to nejde sice v tourch mi uz dava ip spravne ale aj tak mi to nejde

[ludvik]

Podívej se na packet flow. K nalezení na wiki.mikrotik.com

SRC-NAT je na konci toku. DST-NAT naopak na začátku. Takže to pravidlo SRC-NAT nezabere, protože tam už ta veřejná není.

[zvukarmiso]

Skusal som tam dat vzdialenu adresu VPN ale ani tak mi to neslo

Kód: Vybrat vše

chain=dstnat action=dst-nat to-addresses=10.44.0.100 to-ports=5000 protocol=tcp dst-address=verejnaIP dst-port=5050 log=no
      log-prefix=""

chain=srcnat action=src-nat to-addresses=10.29.0.2 to-ports=5050 protocol=tcp dst-address=10.44.0.100 dst-port=5000 log=no
      log-prefix=""


Vypol som aj port ale ani nic,

Skusim to zhrnut ci to chapem spravne

Mam net napr mobil Mojaverejna:5050 ide na verejnuMK1:5050 tu to dst-nat posle na 10.44.0.100:5000 po tadialto by som to mal mat spravne
teraz by to malo ist naspat a to 10.44.0.100:5000 na IP vpn a 10.29.0.2 a z toho by to malo ist von

Dobre to chápem
takze na tom hlavnom routry musim mat 2 pravidla jedno dst-nat a druhe scr-nat

V com sa mylim ?

[ludvik]

musíš to srcnatnout za IP adresu toho konce VPNky. Prostě aby si ten druhý myslel, že to jde z toho prvního.

Ale možná by bylo lepší (na tom druhém mikrotiku) si hrát s tímto: http://wiki.mikrotik.com/wiki/Policy_Base_Routing Alespoň ten server bude vědět, kdo s ním komunikuje.
Prostě něco ve smyslu: co přijde z VPNky, to tam taky vždy vrať.
Nikdy jsem to ovšem nepoužil, tak ti přesně už tuplem neporadím.

Inspirace také třeba zde: viewtopic.php?t=12079

[Majklik]

Aby se na R2 vracelo do VPN (ehm, PPTP už nepatří mezi VPN cca 15 let) co z něj přišlo, tak cca na R2:
# pomocná routovací tabulka do tunelu
/ip route
add gateway=pptp routing-mark=to_vpn
# nové spojení došlé tunelem si omarkuj
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new in-interface=pptp new-connection-mark=from_vpn
# pokud má spojení marku, že přišlo tunelem a paket nepřichází tunelem, tak je to odpověď a vnuť ji route tabulku do tunelu
add action=mark-routing chain=prerouting connection-mark=from_vpn in-interface=!pptp new-routing-mark=to_vpn

[zvukarmiso]

Ahoj co tam patri, ja som potreboval nejake easy a rychle riesenie bez komplikacii .

Ďakujem za vysvetlenie problemu. Všetko funguje ako ma

Dakujem Vam