Jump to content

Recommended Posts

Posted

Добрый день. По поиску нашел несколько похожих тем, но не нашел в них ответов. Надеюсь мне сможет кто-нибудь помочь. Имеется Keenetik с белым IP адресом  и объединенный с ним по VPN туннелю Mirktoik c серым IP. Объединял по прекрасной статье https://mdex-nn.ru/page/l2tp-ipsec-tunnel-mikrotik-i-keenetik.html. Маршрутизация внутри сети работает во всех направлениях правильно. Цель: Нужно получить доступ к устройству во внутренней сети Mikrotik, использую белый адрес Keenetica. Обычный метод проброс порта на другое устройство из веб-интерфейса keenetic не работает.  

PS Возможно это вопрос не к кинетику, а к микротику, но решил задать это на обоих специализированных форумах, чтобы сопоставить ответы и найти решение). Заранее благодарен за уделенное время!  

Схема_1.png

Posted (edited)

172.16.30.1 - это белый IP адрес WAN

172.16.30.2 - это клиентский IP адрес Mikrotik на VPNe (l2tp-out) к Keenetic. Проброс порта к этому адресу не работает через внешний адрес Keentic. Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

tsyno.JPG

Edited by Sereja Smirnoff
Posted

Проброс до 192.168.35.5 не работает. В Mikrotik стоит правило на доступ к морде извне: 

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept
Posted (edited)

Внутри обоих сетей все ресурсы из одной и из другой подсети между собой доступны. Из клиентов подсети Keenetic проброс по публичному адресу открывает морду кинетика. Из мегафона например, уже нет. Где посмотреть дамп? Настройки zyxel? Публичный ip адрес Keenetic на самом деле 188.35.х.х (чтобы вас не смущали одинаковые подсети клиента vpn и белого адреса)

Edited by Sereja Smirnoff
Posted
1 час назад, Sereja Smirnoff сказал:

172.16.30.1 - это белый IP адрес WAN

172.16.30.2 - это клиентский IP адрес Mikrotik на VPNe (l2tp-out) к Keenetic. Проброс порта к этому адресу не работает через внешний адрес Keentic. Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

tsyno.JPG

PS: Кстати, правило TCP/UDP в прошивке 3.7 не работает, приходиться делать раздельно на TCP и UDP соответственно.

Posted (edited)
5 минут назад, Sereja Smirnoff сказал:

Не совсем понял ответ. Проблема в adguard? 

В пробросе портов, если сидите на FW 3.7

23 минуты назад, r777ay сказал:

PS: Кстати, правило TCP/UDP в прошивке 3.7 не работает, приходиться делать раздельно на TCP и UDP соответственно.

Попробовать создать 2а правила для TCP и UDP раздельно

Edited by r777ay
Posted
2 часа назад, Sereja Smirnoff сказал:

Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

Не понятно... Внутри сети keenetic, которая 192.168.36.0/24, при попытке открыть адрес 192.168.35.5 или 192.168.35.2 - любой из адресов, открывается интерфейс микротика???

Posted

Находясь в подсети 192.168.36.0/24 (Kennetic) правило проброса как бы работает, это просто наблюдение. (172.16.30.2:5000 переадресовывает куда надо на 80 порт морды М)! Т.е. mikrotik по идее не блокирует ничего. 

Posted
10 минут назад, Sereja Smirnoff сказал:

Находясь в подсети 192.168.36.0/24 (Kennetic) правило проброса как бы работает, это просто наблюдение

Я спрашивал безотносительно правил проброса, в сети keenetic (192.168.36.0/24) видны все ресурсы из сети  192.168.36.0/24? Или когда в сети  192.168.36.0/24 вводите в браузере любой адрес сети 192.168.35.0/24, то попадаете только на web-интерфейс микротика?

Posted

@Sereja Smirnoff В этой статье, на которую вы ссылаетесь просят выключить "NAT для клиентов" в настройках l2tp/ipsec сервера. Попробуйте включить эту галочку и снова проверить.

Posted

Если не получится средствами роутеров, то можно реализовать так: На целевом ПК (192.168.35.120) ставим ssh клиент (если винда, то советую Bitvise ssh клиент, если Linux - штатный ssh клиент+какой-то супервизор для автовосстановления сессий).  Далее на целевом ПК создается ssh соединение с автовосстановлением на wan kееnetic или 172.16.30.1 с пробросoм порта 41111 . Результатом клиенты 192.168.36.0/24 увидят на keenetic (на любом интерфейсе и любом нужном порту) целевой ПК:41111 . Канал VPN при этой схеме можно вообще не использовать.

Вопрос только стоит на кинетике ssh сервер с нужными опциями (PubkeyAuthentication yes, AuthorizedKeysFile, TCPKeepAlive yes, возможно AllowTcpForwarding yes).

 

 

Posted
5 часов назад, Sereja Smirnoff сказал:

Adguard отключил - не помогло 

Adguard относится только к портам 53 (DNS) и ни каким другим.

PS: Не понимаю, в чем заключена сложность? AIR: XXXX:41111->172.16.30.2:41111; Mikrotik: 172.16.30.2:41111->192.168.35.120:41111

Posted (edited)

Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны.

А так, без conntrack не обойтись

Edited by Oleg Nekrylov
Posted
21 час назад, Oleg Nekrylov сказал:

Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны.

А так, без conntrack не обойтись

Благодарю. Так и сделал!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.