Jump to content

Проброс портов через VPN между двумя роутерами Keenetic и Mikrotik


Recommended Posts

Добрый день. По поиску нашел несколько похожих тем, но не нашел в них ответов. Надеюсь мне сможет кто-нибудь помочь. Имеется Keenetik с белым IP адресом  и объединенный с ним по VPN туннелю Mirktoik c серым IP. Объединял по прекрасной статье https://mdex-nn.ru/page/l2tp-ipsec-tunnel-mikrotik-i-keenetik.html. Маршрутизация внутри сети работает во всех направлениях правильно. Цель: Нужно получить доступ к устройству во внутренней сети Mikrotik, использую белый адрес Keenetica. Обычный метод проброс порта на другое устройство из веб-интерфейса keenetic не работает.  

PS Возможно это вопрос не к кинетику, а к микротику, но решил задать это на обоих специализированных форумах, чтобы сопоставить ответы и найти решение). Заранее благодарен за уделенное время!  

Схема_1.png

Link to comment
Share on other sites

172.16.30.1 - это белый IP адрес WAN

172.16.30.2 - это клиентский IP адрес Mikrotik на VPNe (l2tp-out) к Keenetic. Проброс порта к этому адресу не работает через внешний адрес Keentic. Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

tsyno.JPG

Edited by Sereja Smirnoff
Link to comment
Share on other sites

Внутри обоих сетей все ресурсы из одной и из другой подсети между собой доступны. Из клиентов подсети Keenetic проброс по публичному адресу открывает морду кинетика. Из мегафона например, уже нет. Где посмотреть дамп? Настройки zyxel? Публичный ip адрес Keenetic на самом деле 188.35.х.х (чтобы вас не смущали одинаковые подсети клиента vpn и белого адреса)

Edited by Sereja Smirnoff
Link to comment
Share on other sites

1 час назад, Sereja Smirnoff сказал:

172.16.30.1 - это белый IP адрес WAN

172.16.30.2 - это клиентский IP адрес Mikrotik на VPNe (l2tp-out) к Keenetic. Проброс порта к этому адресу не работает через внешний адрес Keentic. Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

tsyno.JPG

PS: Кстати, правило TCP/UDP в прошивке 3.7 не работает, приходиться делать раздельно на TCP и UDP соответственно.

Link to comment
Share on other sites

5 минут назад, Sereja Smirnoff сказал:

Не совсем понял ответ. Проблема в adguard? 

В пробросе портов, если сидите на FW 3.7

23 минуты назад, r777ay сказал:

PS: Кстати, правило TCP/UDP в прошивке 3.7 не работает, приходиться делать раздельно на TCP и UDP соответственно.

Попробовать создать 2а правила для TCP и UDP раздельно

Edited by r777ay
Link to comment
Share on other sites

2 часа назад, Sereja Smirnoff сказал:

Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik.

Не понятно... Внутри сети keenetic, которая 192.168.36.0/24, при попытке открыть адрес 192.168.35.5 или 192.168.35.2 - любой из адресов, открывается интерфейс микротика???

Link to comment
Share on other sites

Находясь в подсети 192.168.36.0/24 (Kennetic) правило проброса как бы работает, это просто наблюдение. (172.16.30.2:5000 переадресовывает куда надо на 80 порт морды М)! Т.е. mikrotik по идее не блокирует ничего. 

Link to comment
Share on other sites

10 минут назад, Sereja Smirnoff сказал:

Находясь в подсети 192.168.36.0/24 (Kennetic) правило проброса как бы работает, это просто наблюдение

Я спрашивал безотносительно правил проброса, в сети keenetic (192.168.36.0/24) видны все ресурсы из сети  192.168.36.0/24? Или когда в сети  192.168.36.0/24 вводите в браузере любой адрес сети 192.168.35.0/24, то попадаете только на web-интерфейс микротика?

Link to comment
Share on other sites

@Sereja Smirnoff В этой статье, на которую вы ссылаетесь просят выключить "NAT для клиентов" в настройках l2tp/ipsec сервера. Попробуйте включить эту галочку и снова проверить.

Link to comment
Share on other sites

Если не получится средствами роутеров, то можно реализовать так: На целевом ПК (192.168.35.120) ставим ssh клиент (если винда, то советую Bitvise ssh клиент, если Linux - штатный ssh клиент+какой-то супервизор для автовосстановления сессий).  Далее на целевом ПК создается ssh соединение с автовосстановлением на wan kееnetic или 172.16.30.1 с пробросoм порта 41111 . Результатом клиенты 192.168.36.0/24 увидят на keenetic (на любом интерфейсе и любом нужном порту) целевой ПК:41111 . Канал VPN при этой схеме можно вообще не использовать.

Вопрос только стоит на кинетике ssh сервер с нужными опциями (PubkeyAuthentication yes, AuthorizedKeysFile, TCPKeepAlive yes, возможно AllowTcpForwarding yes).

 

 

Link to comment
Share on other sites

5 часов назад, Sereja Smirnoff сказал:

Adguard отключил - не помогло 

Adguard относится только к портам 53 (DNS) и ни каким другим.

PS: Не понимаю, в чем заключена сложность? AIR: XXXX:41111->172.16.30.2:41111; Mikrotik: 172.16.30.2:41111->192.168.35.120:41111

Link to comment
Share on other sites

Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны.

А так, без conntrack не обойтись

Edited by Oleg Nekrylov
Link to comment
Share on other sites

21 час назад, Oleg Nekrylov сказал:

Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны.

А так, без conntrack не обойтись

Благодарю. Так и сделал!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...