LINUX.ORG.RU
решено ФорумAdmin

Проброс портов в Mikrotik (нестандартная ситуация)

 , , ,


1

2

Всем привет! Столкнулся с проблемой проброса портов в Mikrotik. Вроде бы, чего сложного, неправда ли? В случае с пробросом порта на компьютер, находящийся в локалке, проблем нет, юзаю netmap правило в nat. Но стоит мне только подключиться к сети извне (путем pptp), сразу начинается свистопляска. Способом, описанным выше порты не пробрасываются. Хотя все остальное работает. Как быть - не знаю. Прошу помощи, уважаемые знатоки.


Но стоит мне только подключиться к сети извне (путем pptp)

Зачем пробрасывать порты, если ты уже подключился к сети?

King_Carlo ★★★★★ ()
Ответ на: комментарий от sm00

Он имел в виду что ты можешь по pptp выдать ip из внутренней подсети(не забудь proxy-arp включить только) и ходить на ресурс без проброса портов.

А вообще давай конфиги.

Deleted ()
Последнее исправление: log4tmp (всего исправлений: 1)
Ответ на: комментарий от King_Carlo

У меня есть маршрутизатор. Там запущен сервер pptp. Я к нему подключаюсь. И хочу пробросить порт от маршрутизатора до девайса, что подключен через pptp.

sm00 ()
Ответ на: комментарий от sm00

in-interface=pppoe-out1 начнем с того что в правилах проброса у тебя явно указан входящий интерфейс. И в /ip firewall filter не забудь открыть доступ с pptp на сервер.

Deleted ()
Ответ на: комментарий от Deleted

А где мне настраивать proxy-arp? Сейчас погуглил немного на эту тему. Получается, что proxy-arp я могу настроить только на ethernet портах, правильно? В настройках же коннекта не могу настроить arp

sm00 ()

В случае с пробросом порта на компьютер, находящийся в локалке, проблем нет, юзаю netmap правило в nat. Но стоит мне только подключиться к сети извне (путем pptp), сразу начинается свистопляска

Из твоего описания непонятно вообще ничего. Давай с примерами «так работает», «а так не работает»

Скил телепатии позволяет предположить, что ты изнутри локалки хочешь подключиться к DNAT'у, сделанному на внешний адрес той же самой локалки. Очевидно, что без SNAT это работать не будет

Смотри: 192.168.1.1 - mikrotik
192.168.1.2 - home server
1.2.3.4 - home external address

5.6.7.8 - client external address
192.168.1.3 - client in VPN

NAT: 1.2.3.4 : tcp/443 -> 192.168.1.2 : tcp/443

случай 1) ты обращаешься из интернета через NAT

Клиент отправляет:
5.6.7.8 -> 1.2.3.4 : tcp/443

после DNAT сервер получает:
5.6.7.8 -> 192.168.1.2 : tcp/443

сервер отвечает:
192.168.1.2 : tcp/443 -> 5.6.7.8

после обратного NAT:
1.2.3.4 : tcp/443 -> 5.6.7.8

Всё красиво, всё работает

случай 2) ты обращаешься из той же домашней сети

Клиент отправляет:
192.168.1.3 -> 1.2.3.4 : tcp/443

после DNAT сервер получает:
192.168.1.3 -> 192.168.1.2 : tcp/443

сервер отвечает:
192.168.1.2 : tcp/443 -> 192.168.1.3

тут засада. в соответствии с таблицей маршрутизации, он ответит напрямую, 192.168.1.3. И обратно через NAT этот ответ не пойдёт

В результате, клиент получит ответ
192.168.1.2 : tcp/443 -> 192.168.1.3

Но он отправлял запрос к другому адресу. Спросил он 1.2.3.4, а отвечает какой-то левый 192.168.1.2. Разумеется, этот ответ отбрасывается

есть два решения
1) добавить SNAT на mikrotik
2) отделить внешний DNS от внутреннего. Во внешнем server имеет адрес 1.2.3.4, во внутреннем - 192.168.1.2

router ★★★★★ ()
Ответ на: комментарий от router

В общем, кури LARTC и iptables howto до просветления. Есть русский перевод старых версий

router ★★★★★ ()
Последнее исправление: router (всего исправлений: 1)

Решение

Взял свой bridge-local, к которому коннектится буквально все (разумеется, кроме порта с внешним миром). Изменил пункт proxy с enabled на proxy-arp и все зработало

sm00 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.