Přes VPN do neveř. sítě za NAT

[wasill]

Zdravíčko profíci řeším malý oříšek, mám nový internet, kde jsem za NATem v neveřejné síti (rozsah 10.1.11.x). ISP chce 200 za veřejnou adresu, což prostě nedám U přítelkyně mám veřejnou na jiném ISP s veřejnou (sice dynamic, ale přes ddns mám pošéfováno, stejně se mění jednou za rok)

A můj problém je, že se chci dostat po zadání její add. např s portem 3389 na RDP do mého PC v mé síti

udělal jsem si PPTP (PritelkyneRB -> PPTP ->DomaRB) a teď bych to dal do nějakého bridge, 3389 bych směroval do něj a na DomaRB bych ho přesměroval na PC, nebo tak něco, nějaké nápady? Problém je, že se z PC za DomaRB nedopingnu ani na PritelkyneRB :) Tak někde dělám stejně chybu jinak z obou MT na ten druhý ping OK v PPTP rozsahu..
Tady na fóru jsem našel hodně věcí, ale ani jedna z nich nebyla postavena takhle. Kamarád mi radil udělat DDNS, ale nemám tucha, jak by to fungobalo? Vždyť ddns prijde jen na venkovní rozsah, a ne do vnitřní sítě ne?

Děkuji za odpo

[Maxik]

pptp nemuzes dat do bridge ne ? to bys musel pouzit pptp+eoip. U pptp si take na oba konce musis dodat routy pro ty segmenty site co mas na 2 konci tunelu jinak ty smerovace nevedi kam a poslou to na defautni branu.

[Hallo]

http://www.mikrotik.com/testdocs/ros/3.0/vpn/pptp.php Zde manuál pro PPTP spojení,je tam i ukázka nastavení s proroutováním.

[Zbojnik]

pptp nemuzes dat do bridge ne ? to bys musel pouzit pptp+eoip. U pptp si take na oba konce musis dodat routy pro ty segmenty site co mas na 2 konci tunelu jinak ty smerovace nevedi kam a poslou to na defautni branu.

pptp samotne nie, ale ked na to postavi eoip tak ten potom moze....

ak to chces dat do bridge tak sa ozvy...

[wasill]

Tak co se týče EoIP tak s tím nemám žádnou zkušenost. Tozn. že PPTP nastavení mám smazat, nebo nechat a dodat k tomu EoIP?

[wasill]

ještě mě napadá že doma mám RB433 a u přítelkyně RB112.. Není problém??

[sub_zero]

nedelej zadny bridge, eoip a podobny zbytecnosti.
Normalne udelej PPTP (pokud to bude permanentni spojeni tak radeji L2TP) a dej tomu tunelu uplne jinej rozsah adres, ktery nemas pouzity ani v jedny siti (napr. 10.10.10.0/29).

Prakticky:
RB u pritelky: zapnout PPTP nebo L2TP server, zvolit sifrovani, vytvorit Profil, jako Local IP zadat 10.10.10.1, jako Remote IP 10.10.10.2
RB u Tebe: PPTP nebo L2TP klient, zadat jmeno, heslo, jeji verejnou IP, connect.
Tim mas tunel spojenej.

U pritelky na RB zadat routu do Tve site doma napr: 192.168.1.0/24 a jako Gateway zadej 10.10.10.2
U Tebe na RB zadej routu do site pritelky napr: 192.168.2.0/24 a jako Gateway zadej 10.10.10.1

Quick & Easy

Podotykam, ze LAN pritelky, LAN Tvoje a IP na tunel musej bejt JINY! Nesmis mit nekde nejakou shodu.

[wasill]

No, tak takhle to mám.. Z mého pc se dopingnu až do jejího RB, ale na její PC už nee.. z venku se na veřejnou přítelkyně dostanu ok, a když zkoušim třeba jen mac telnet z jejího RB tak se na můj nedostanu
a hlavně co teď teda potřebuji řešit je přístup z venku, z vežejné u přítelkyně, přes tunel ke mě do sítě.. Tzn, jestli nějak přidat do natu port? Půjde to? Popř můžete někdo poslat jak na to?

[sub_zero]

No, tak takhle to mám.. Z mého pc se dopingnu až do jejího RB, ale na její PC už nee.. z venku se na veřejnou přítelkyně dostanu ok, a když zkoušim třeba jen mac telnet z jejího RB tak se na můj nedostanu
a hlavně co teď teda potřebuji řešit je přístup z venku, z vežejné u přítelkyně, přes tunel ke mě do sítě.. Tzn, jestli nějak přidat do natu port? Půjde to? Popř můžete někdo poslat jak na to?

mas neco spatne.. pokud tam nemas zadnej FW, tunely mas spojeny, z jednotlivejch RB si mezi sebou pingnes, mas spravne routy - musi to chodit. Pak nepotrebujes resit zadnej nat.., proste sednes k pritelce k PC, zadas do RD konzoli svoji LOKALNI ip PC a jsi tam

[wasill]

Pozor, já nepotřebuji od přítelkyně, potřebuju z internetu prostě třeba z práce (3 sít ) abych zadal jeji verejnou treba 86.49.97.2xx:3389 a sel tim na jeji RB > tunelem na muj RB > na muj PC > RDP

[sub_zero]

Pozor, já nepotřebuji od přítelkyně, potřebuju z internetu prostě třeba z práce (3 sít ) abych zadal jeji verejnou treba 86.49.97.2xx:3389 a sel tim na jeji RB > tunelem na muj RB > na muj PC > RDP

jo taaak ..no na RB pritelky udejej dst-nat v tomhle tvaru:

Kód: Vybrat vše

 chain=dstnat action=dst-nat to-addresses= "IP TVYHO RB NA TUNELU" to-ports=3389
     protocol=tcp dst-address= "JEJI VEREJKA" in-interface= "IFACE DO NETU" dst-port=3389


a u sebe na RB pridej dst-nat v tomhle tvaru:

Kód: Vybrat vše

 chain=dstnat action=dst-nat to-addresses="IP TVYHO PC" to-ports=3389
     protocol=tcp dst-address= "IP TVYHO RB NA TUNELU" in-interface=IFACE TUNELU dst-port=3389

edit: ale ted si nejsem jistej, jestli na jejim RB nemusis udelat i scr-nat z rozsahu toho tunelu ven do netu..

[Zbojnik]

uz to v podstate mas preroutovane tak nema vyznam bridge..
ale ak by nahodou niekto potreboval ...

Kód: Vybrat vše

http://www.mikrotik.com/testdocs/ros/2.9/interface/eoip.php

(pokud to bude permanentni spojeni tak radeji L2TP)

preco je lepsie L2TP ak je to trvalo prepojene??

dik

[wasill]

Takže dá se říct, že to funguje, ale výsledek nedostanu. Od přítelkyně se domů na RDP dostanu, to je velký úspěch. Ale z venku ne. Když si pustím vzdálenou plochu RDP z mobilu, na 3G a sleduji packety na routeru doma, tak tam prostě přijdou. Ale vzdálená plocha se nespustí. Nevím kde je chyba.. takže od přítelkyně jdu notebook -> wifi -> RB -> tunel -> RBdoma -> KONEC nějaké nápady?

[Machca]

místo PPTP tunelu mezi 2ma RBčkama se připoj VPNkou PPTP z kompu přímo na veřejnou adresu přítelkyne a v dst-natem u přítelkyně na RB natuj na remote address kompu takhle to bezpečně funguje

[wasill]

místo PPTP tunelu mezi 2ma RBčkama se připoj VPNkou PPTP z kompu přímo na veřejnou adresu přítelkyne a v dst-natem u přítelkyně na RB natuj na remote address kompu takhle to bezpečně funguje

To by sice možná šlo, ale neřeší to mou situaci, jde mi o to, mapovat si tam i jiné služby, proste to udělat z venku přístupný na té IP přítelkyně. Nějak to jít musí. Včera jsem si stáhnul nějaký program na sledování komunukace PC a ty packety přicestujou až do PC, ale stejně to nejde