Доброго времени суток. Есть следующая конфигурация:
- Офис1: Mikrotik1 с реальным ip-адресом (два интерейса: Inet (туда приходит канал провайдера) и LAN (внутренний IP Mikrotika 192.168.1.200)
- Офис2: Mikrotik2 с серым IP (два интерфейса: Inet с серым IP от провайдера и LAN (внутренний IP Mikrotik 192.168.1.1)
- Сервер с сервисами (для примера: Web port 80), находится за Mikrotik2, подключен к LAN (IP 192.168.1.6)
- Для упрощения доступа от Mikrotik2 до Mikrotik1 поднял PPTP-тонель (IP Mikrotik2 в тонеле 172.19.1.1) Есть такая нетривиальная задача:
Нужно обеспечить доступ к ресурсам сервера за Mikrotik2 через белый IP Mikrotik1.
Например: обращаюсь на порт 80 интерфейса Inet Mikrotik1 >> Mikrotik1 переправляет запрос на интерфейс PPTP Mikrotik2 >> Mikrotik2 передает запрос на внутренний сервер через интерфейс LAN.
В общем, на первый взгляд проблема не очень и сложная (но нестандартная). По идее тут должен быть какой-то хитрый NAT, но что-то попытка решить вопрос нахрапом не прокатила, подзабыл уже основы.
А почему не сделать просто проброс на адрес сервера за микротиком2, при условии что все маршруты построены (у вас похоже пересекающиеся IP сети) и трафик не заблокирован? Ну то есть маскарадинг достаточно делать в одном месте, дальше трафик вполне может ходить по вашей сете уже с той адресацией которую вы используете, нужно только правильно настроить это хождение.
Правильно я понял что всё зерно проблемы именно в пересекающихся IP сетях обоих офисов? Если это не решаемо - то да, прислушайтесь к Артёму. Только двойной нат.
@vityushka: двойной нат тебе нужен. Не забывай для узлов делать правило и SRCNAT иначе вполне возможна ситуация когда трафф будет идти только в одну сторону. Т.е. на МК2 сорс нат для сервера, где ты его прячешь за адресом МК2 в туннеле, а для МК1 сорс нат обычный как будто выход в инет для узла из туннеля. Надеюсь понятна логика =)
Евгений Быченко: логику понял, реализацию не очень :) Во первых, что уже было сделано (из коммента выше скопирую):
1) На Mikrotik1 NAT: Chain: dstnat Dst.Adress: белыйIP Protocol: TCP Dst.Port: 80 Action: netmap ToAddresses: 172.19.1.2 To Ports: 80
2) На Mikrotik2 NAT: Chain: dstnat Dst.Addresses: 172.19.1.2 Protocol: TCP Dst.Port: 80 In.Interface pptp Action: dst-nat (netmap тоже пробовал) To Adresses: 192.168.1.6 To ports: 80.
В итоге, я вижу движение по созданным правилам, вижу подключение на вкладке Connections Mikrotik2, но в столбце TCP State висит SYN RECEIVED. Что-то не так, походу.
Во-вторых, пробую добавить srcnat:
MK2: Chain: srcnat Src.Address: 192.168.1.6 (ip сервака) Protocol: TCP Action: src-nat To Address: 172.19.1.2 (ip pptp mk2).
По MK1 я вообще затрудняюсь ответить, что нужно сделать.
Простой
Средний
