Sereja Smirnoff Posted November 17, 2021 Share Posted November 17, 2021 Добрый день. По поиску нашел несколько похожих тем, но не нашел в них ответов. Надеюсь мне сможет кто-нибудь помочь. Имеется Keenetik с белым IP адресом и объединенный с ним по VPN туннелю Mirktoik c серым IP. Объединял по прекрасной статье https://mdex-nn.ru/page/l2tp-ipsec-tunnel-mikrotik-i-keenetik.html. Маршрутизация внутри сети работает во всех направлениях правильно. Цель: Нужно получить доступ к устройству во внутренней сети Mikrotik, использую белый адрес Keenetica. Обычный метод проброс порта на другое устройство из веб-интерфейса keenetic не работает. PS Возможно это вопрос не к кинетику, а к микротику, но решил задать это на обоих специализированных форумах, чтобы сопоставить ответы и найти решение). Заранее благодарен за уделенное время! Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 17, 2021 Share Posted November 17, 2021 172.16.30.1 - это интерфейс public? Адрес 192.168.35.5 доступен через проброс? Quote Link to comment Share on other sites More sharing options...
Sereja Smirnoff Posted November 17, 2021 Author Share Posted November 17, 2021 (edited) 172.16.30.1 - это белый IP адрес WAN 172.16.30.2 - это клиентский IP адрес Mikrotik на VPNe (l2tp-out) к Keenetic. Проброс порта к этому адресу не работает через внешний адрес Keentic. Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik. Edited November 17, 2021 by Sereja Smirnoff Quote Link to comment Share on other sites More sharing options...
Sereja Smirnoff Posted November 17, 2021 Author Share Posted November 17, 2021 Проброс до 192.168.35.5 не работает. В Mikrotik стоит правило на доступ к морде извне: /ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 17, 2021 Share Posted November 17, 2021 А реально трафик до M доходит? В дампе что там? Quote Link to comment Share on other sites More sharing options...
Sereja Smirnoff Posted November 17, 2021 Author Share Posted November 17, 2021 (edited) Внутри обоих сетей все ресурсы из одной и из другой подсети между собой доступны. Из клиентов подсети Keenetic проброс по публичному адресу открывает морду кинетика. Из мегафона например, уже нет. Где посмотреть дамп? Настройки zyxel? Публичный ip адрес Keenetic на самом деле 188.35.х.х (чтобы вас не смущали одинаковые подсети клиента vpn и белого адреса) Edited November 17, 2021 by Sereja Smirnoff Quote Link to comment Share on other sites More sharing options...
r777ay Posted November 17, 2021 Share Posted November 17, 2021 1 час назад, Sereja Smirnoff сказал: 172.16.30.1 - это белый IP адрес WAN 172.16.30.2 - это клиентский IP адрес Mikrotik на VPNe (l2tp-out) к Keenetic. Проброс порта к этому адресу не работает через внешний адрес Keentic. Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik. PS: Кстати, правило TCP/UDP в прошивке 3.7 не работает, приходиться делать раздельно на TCP и UDP соответственно. Quote Link to comment Share on other sites More sharing options...
Sereja Smirnoff Posted November 17, 2021 Author Share Posted November 17, 2021 Не совсем понял ответ. Проблема в adguard? Quote Link to comment Share on other sites More sharing options...
r777ay Posted November 17, 2021 Share Posted November 17, 2021 (edited) 5 минут назад, Sereja Smirnoff сказал: Не совсем понял ответ. Проблема в adguard? В пробросе портов, если сидите на FW 3.7 23 минуты назад, r777ay сказал: PS: Кстати, правило TCP/UDP в прошивке 3.7 не работает, приходиться делать раздельно на TCP и UDP соответственно. Попробовать создать 2а правила для TCP и UDP раздельно Edited November 17, 2021 by r777ay Quote Link to comment Share on other sites More sharing options...
Sereja Smirnoff Posted November 17, 2021 Author Share Posted November 17, 2021 У меня 3.6.10 Adguard отключил - не помогло Quote Link to comment Share on other sites More sharing options...
vadimbn Posted November 17, 2021 Share Posted November 17, 2021 2 часа назад, Sereja Smirnoff сказал: Находясь же внутри сети набрав 172.16.30.2, так же как и 192.168.35.5 открывает web-морду Mikrotik. Не понятно... Внутри сети keenetic, которая 192.168.36.0/24, при попытке открыть адрес 192.168.35.5 или 192.168.35.2 - любой из адресов, открывается интерфейс микротика??? Quote Link to comment Share on other sites More sharing options...
Sereja Smirnoff Posted November 17, 2021 Author Share Posted November 17, 2021 Находясь в подсети 192.168.36.0/24 (Kennetic) правило проброса как бы работает, это просто наблюдение. (172.16.30.2:5000 переадресовывает куда надо на 80 порт морды М)! Т.е. mikrotik по идее не блокирует ничего. Quote Link to comment Share on other sites More sharing options...
vadimbn Posted November 17, 2021 Share Posted November 17, 2021 10 минут назад, Sereja Smirnoff сказал: Находясь в подсети 192.168.36.0/24 (Kennetic) правило проброса как бы работает, это просто наблюдение Я спрашивал безотносительно правил проброса, в сети keenetic (192.168.36.0/24) видны все ресурсы из сети 192.168.36.0/24? Или когда в сети 192.168.36.0/24 вводите в браузере любой адрес сети 192.168.35.0/24, то попадаете только на web-интерфейс микротика? Quote Link to comment Share on other sites More sharing options...
Sereja Smirnoff Posted November 17, 2021 Author Share Posted November 17, 2021 Все работает отлично, кроме правила проброса на vpn клиента. Во внутреннюю сеть кинетика проброс работает. Quote Link to comment Share on other sites More sharing options...
stefbarinov Posted November 17, 2021 Share Posted November 17, 2021 (edited) Если на микроте сделать netmap? Edited November 17, 2021 by stefbarinov Quote Link to comment Share on other sites More sharing options...
Werld Posted November 17, 2021 Share Posted November 17, 2021 @Sereja Smirnoff В этой статье, на которую вы ссылаетесь просят выключить "NAT для клиентов" в настройках l2tp/ipsec сервера. Попробуйте включить эту галочку и снова проверить. Quote Link to comment Share on other sites More sharing options...
laforsh Posted November 17, 2021 Share Posted November 17, 2021 Если не получится средствами роутеров, то можно реализовать так: На целевом ПК (192.168.35.120) ставим ssh клиент (если винда, то советую Bitvise ssh клиент, если Linux - штатный ssh клиент+какой-то супервизор для автовосстановления сессий). Далее на целевом ПК создается ssh соединение с автовосстановлением на wan kееnetic или 172.16.30.1 с пробросoм порта 41111 . Результатом клиенты 192.168.36.0/24 увидят на keenetic (на любом интерфейсе и любом нужном порту) целевой ПК:41111 . Канал VPN при этой схеме можно вообще не использовать. Вопрос только стоит на кинетике ssh сервер с нужными опциями (PubkeyAuthentication yes, AuthorizedKeysFile, TCPKeepAlive yes, возможно AllowTcpForwarding yes). Quote Link to comment Share on other sites More sharing options...
Oleg Nekrylov Posted November 17, 2021 Share Posted November 17, 2021 5 часов назад, Sereja Smirnoff сказал: Adguard отключил - не помогло Adguard относится только к портам 53 (DNS) и ни каким другим. PS: Не понимаю, в чем заключена сложность? AIR: XXXX:41111->172.16.30.2:41111; Mikrotik: 172.16.30.2:41111->192.168.35.120:41111 Quote Link to comment Share on other sites More sharing options...
Oleg Nekrylov Posted November 17, 2021 Share Posted November 17, 2021 (edited) Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны. А так, без conntrack не обойтись Edited November 17, 2021 by Oleg Nekrylov Quote Link to comment Share on other sites More sharing options...
Sereja Smirnoff Posted November 18, 2021 Author Share Posted November 18, 2021 21 час назад, Oleg Nekrylov сказал: Понял в чем дело: у вас поднят не Site-to-Site VPN, иначе бы вы могли напрямую пробросить порт XXXX:41111->192.168.35.120:41111. У меня, например, вместо вашего "L2TP VPN" кинут Wireguard, а в конфиге Keenetic сидит: ip nat WireguardX, остается только на Mikrotik настроить NAT (в моем случае стоит тоже Keenetic с таким же ip nat WireguardX, ну и не забыть маршруты указать на обоих концах) и все будут довольны. А так, без conntrack не обойтись Благодарю. Так и сделал! Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.