Имя: Пароль:
IT
Админ
Mikrotik ПРоброс порта, через 2 микротика, pptp настроен! не вижe RDP Серверов
,
0 recovery_man
 
10.01.16
04:05
Здравствуйте Уважаемые форумчане, вопрос следующео плана:
Есть 2 микротика связаны PPTP тунелем(не спрашивайте почему именно им - с айписеком намучился, плюнул!) Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ... почемуто ... помогите кто чем может! Спасибо
25 recovery_man
 
10.01.16
14:13
получить доступ по белому  айпи 192,168,8,1 (белый 90,54,65,85)микротик первый

к компу в подсети 192,168,9,1  -  192,168,9,9 (белый 90,54,65,83)- рдп!
26 recovery_man
 
10.01.16
14:14
два микротика, два ната, за одним из микротиков РДП сервак спрятан!
27 recovery_man
 
10.01.16
14:15
нету схемы, что тут схемить?
28 recovery_man
 
10.01.16
14:19
надо Стучасть на белый айпи 90.54.65.83   попадать на Машинку которая за 90.54.65.85   для этого ТУНЕЛЬ!!! но не работает!
29 Jump
 
10.01.16
14:20
(25) Уже лучше.
значит провайдер выдает белый адрес 90,54,65,83 микротику, за микротиком серая сеть 192,168,9,9  в которой находится нужный RDP сервер.
И к нему нужно получить доступ из интернета.
Так?
30 recovery_man
 
10.01.16
14:21
(29) так, отлько стучась на соседний роутер!!! с айпи 90.54.65.85
31 Jump
 
10.01.16
14:22
(28) Это что-то невообразимое.

Если нужная машина за 90.54.65.85, то надо стучаться именно  на 90.54.65.85, и на нем же пробрасывать порт до нужной машины.
А тоннель тут нафиг не нужен.
32 recovery_man
 
10.01.16
14:23
хочу светить айпи толко ВПН сервера, что б не знали кто клиент!!! и какой у него честный айпи !!!
33 Jump
 
10.01.16
14:23
(30) Поймите - у вас за NAT'ом не может быть белого адреса.
34 recovery_man
 
10.01.16
14:25
так мне и не надо! мне надо как то попасть с ВПН сервера, к ВПН клиенту! на рабочий стол! (что я не шарю, допинайте ногами!!!)
35 Jump
 
10.01.16
14:26
(32) Понятно.
Тогда забудьте вообще что есть такой адрес - 90.54.65.85
Ибо он тут не важен и никуда не стучит.

Значит у вас есть белый адрес 90,54,65,83 выданный микротику, за этим микротиком серая сеть - какая адресация сети?
И на этом же микротике поднят тоннель в сеть с нужным роутером. Какая адресация сети тоннеля?
36 Jump
 
10.01.16
14:27
(34) Чтобы попасть с VPN сервера к VPN клиенту нужно просто прописать маршрут!!

Но уж никак не порт пробрасывать!
Ибо никаких NAT там не может быть!
37 recovery_man
 
10.01.16
14:28
ок забыл, про адрес 90.54.65.85,  есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.9.11  РЕМУТ АДРЕС 192.168.9.22
38 Jump
 
10.01.16
14:28
Если у вас там тоннель поднят между сетями ( тоннель это виртуальная частная сеть)
Заметьте - частная, и там не может быть никаких белых адресов!!!
39 recovery_man
 
10.01.16
14:30
маршрут 192.168.9.11 pptp-out1 rachable
192.168.9.0/24 192.168.9.11 rachable
40 Jump
 
10.01.16
14:30
(37) Уважаемый двайте про что то одно.

Либо у вас есть тоннель и он работает - тогда никаких белых адресов вида 90.54.65.85 быть не может.

Либо у вас нет тонннеля и доступ нужен по белым адресам.

Так понятней?
41 Jump
 
10.01.16
14:31
С какого серого адреса нужно попасть на какой серый адрес.


В общем скажите адреса клиента который будет подключаться к серверу, и адрес сервера.
Именно локальный адрес, вида 192...
42 recovery_man
 
10.01.16
14:32
у мня есть тунель, и он работает не правильно

ине надо с белого адреса попасть на серый за вторым микротиком
43 recovery_man
 
10.01.16
14:32
тут не получается что то одно - никак
44 recovery_man
 
10.01.16
14:33
любой клиент стучась на сервер по белому адресу 90.54.65.83  должен попадать на пк 192,168,9,9
45 recovery_man
 
10.01.16
14:34
как тут что-то одно????
46 Jump
 
10.01.16
14:35
(42)Это невозможно.

(44)Это без проблем.
47 recovery_man
 
10.01.16
14:36
(46) как без проблемм????
48 Jump
 
10.01.16
14:36
(44) вы никак не хотите нарисовать схему сети.

Что у вас за роутером с адресом 90.54.65.83 ?
Какая там сеть?
49 recovery_man
 
10.01.16
14:37
90.54.65.83   192,168,8,0,/24
50 Jump
 
10.01.16
14:38
(49)отлично.
А теперь нужно узнать адресацию сети в тоннеле.
51 recovery_man
 
10.01.16
14:40
(50) (37) уже писал  
есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.9.11  РЕМУТ АДРЕС 192.168.9.22
52 recovery_man
 
10.01.16
14:41
извеняюсь

есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.8.11  РЕМУТ АДРЕС 192.168.8.22
53 Jump
 
10.01.16
14:41
(51) Далее нужно добиться чтобы с любого адреса сети 192,168,8,0 пинговался  адрес 192.168.9.22

Пингуется?
54 recovery_man
 
10.01.16
14:43
да
55 Jump
 
10.01.16
14:44
Уже лучше.
Теперь идем дальще.
Какой локальный адрес у RDP сервера, на который нужно попасть?
56 recovery_man
 
10.01.16
14:45
192,168,9,9
57 Jump
 
10.01.16
14:46
(56) Понятно.
Теперь такой вопрос адрес 192,168,9,9 пингуется  с компьютера в сети 192,168,8,0?
58 recovery_man
 
10.01.16
14:47
в том то и беда что пингуется!
59 recovery_man
 
10.01.16
14:47
а из вне по белому зайти - не заходит!
60 Jump
 
10.01.16
14:49
(58) Ну и прекрасно.

Значит из сети 192,168,8,0 вы можете свободно заходить на RDP сервер.

Осталось научить заходить туда из интернета.

Делается просто.

Идете в настройки NAT на микротике имеющем адрес 90.54.65.83
и пробрасываете порт на адрес 192,168,9,9
И все.
61 recovery_man
 
10.01.16
14:51
я и сделал dst-nat(проброс тот самы за который меня тут пинают)!!! не могу зайти из интернета!
62 Jump
 
10.01.16
14:53
(61) Понятно.
Если не работает нужно понять что именно не работает.

1)Проверьте удается ли зайти на  RDP сервер с компьютера находящегося в сети 192,168,8,0.
63 recovery_man
 
10.01.16
14:55
у меня там нет компов, ни одного :( всё проверяю прямо с роутера!!!
64 Jump
 
10.01.16
15:00
(63) Это уже хуже.
Ладно, сделаем так - на RDP сервер вообще с локальной сети зайти можно? Вы проверяли? может там файервол блокирует.
В логах сервера при попытке подключения есть что?
65 Jump
 
10.01.16
15:00
Т.е у вас либо проброс порта не работает, либо сам сервер подключения не принимает.

Он кстати на том же порту работает который вы пробрасывали?
66 recovery_man
 
10.01.16
15:04
dst-nat работает с белого айпи, о котором мы договорились забыть! так заходит - на прямую! порт другой в целях безопасности !!!
67 Jump
 
10.01.16
15:10
(66) А теперь скажите то же самое, но понятным языком.
68 recovery_man
 
10.01.16
15:11
dst-nat работает с белого айпи 90.54.65.85   а с 90.54.65.83 - нет
69 recovery_man
 
10.01.16
15:12
тоесть сам рдп сервер поднят и отвечает, вин файерволл выключил от греха подальше!
70 Zamestas
 
10.01.16
15:14
Мыши плакали, колосолись...
(68) Узел 90.54.65.83 - dst-nat на какой адрес проброс делает?
71 Zamestas
 
10.01.16
15:14
*кололись
72 Jump
 
10.01.16
15:16
(70) На адрес 192,168,9,9 насколько удалось выяснить. и он с этого узла пингуется.
73 recovery_man
 
10.01.16
15:16
192,168,9,9  на тот что за вторым микротиком
74 Jump
 
10.01.16
15:17
(68) Ок, проверим еще один момент, обратный маршрут есть?

С компьютера  192,168,9,9  пингуется адрес компьютера указанного шлюзом в сети 92,168,8,0 ?
75 Zamestas
 
10.01.16
15:18
Т.е. сеть1:
90.54.65.85
192,168,9,9/24
сеть2:
192,168,8,0,/24
90.54.65.83
все верно?
76 Zamestas
 
10.01.16
15:20
(74) Собака или там, или в правила Microtik'ов.
З.Ы.: Хождение в трех соснах на 70 постов...
77 recovery_man
 
10.01.16
15:21
да с 192,168,9,9  пингуеться роутер 192,168,8,1
78 recovery_man
 
10.01.16
15:22
(76) потому и попросил помощи, может есть что я ещё не знаю... глю в прошивке или правила не работают или ещё что :(  ума уже не приложу
79 Jump
 
10.01.16
15:24
(76) Так не было бы хождения, если бы автор не поленился нарисовать схему сети.

А так попробуй пойми, что ему нужно. Приходится задавать десятки вопросов, чтобы понять что у него там вообще.
80 recovery_man
 
10.01.16
15:26
просто опустил подробности уложив их в :

Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ...

Виноват исправлюсь
81 Jump
 
10.01.16
15:26
(77) Правило можешь показать? Скрин из winbox или  командную строку.
82 Jump
 
10.01.16
15:28
(80) Так вам это понятно, вы свою сеть знаете, а вот со стороны нифига не понятно.
83 Jump
 
10.01.16
15:28
+(81) В смысле правило которым проброс делал.
84 recovery_man
 
10.01.16
15:28
(81) я тим вьювер готов дать - лишь бы не сойти с ума сегодня из за этих правил ... (убрано цензурой) :(
85 Zamestas
 
10.01.16
15:31
(79) Да я о чем.
(84) У тебя правила на mictotik'ах одинаковые (т.е. за разностью сетей)?
86 recovery_man
 
10.01.16
15:31
chain dstnat

Protocol  6 (tcp)

dst-port  23835

Action

dstnat

to adress 192.168.9.9

to ports 3389
87 Jump
 
10.01.16
15:32
(86) Интерфейсы не указывали?
88 recovery_man
 
10.01.16
15:32
да одинаковые!  нет не указывал!
89 Jump
 
10.01.16
15:36
(88) список внутренних интерфейсов у вас какой там?
90 Jump
 
10.01.16
15:38
Конкретно на каком интерфейсе тоннель висит?
91 recovery_man
 
10.01.16
15:41
поднялся интерфейс pptp-of1 он в списке адресов есть! не знаю что добавить... :(
92 recovery_man
 
10.01.16
15:42
на другой стороне pptp-out интерфейс появился!
93 Jump
 
10.01.16
15:42
вот на этот интерфейс и нужно кидать.
94 recovery_man
 
10.01.16
15:44
в ИН или в АУТ интерфейс его надо указывать?
95 Jump
 
10.01.16
15:44
Т.е смотрите на каком интерфейсе у вас висит тоннель, и явно указываете этот интерфейс при пробросе.
В аут разумеется.
96 recovery_man
 
10.01.16
15:47
матерится микротик, не могу мол изменить правило :(
97 Jump
 
10.01.16
15:50
(96) Хм. Интересно.
Удалите правило и создайте новое.
Интерфейс точно указываете?
Вы вообще в винбоксе работаете или с командной строки?
98 recovery_man
 
10.01.16
15:52
в винбоксе! интерфейс аут  указываю: pptp
99 recovery_man
 
10.01.16
15:54
новое правило - таже история!
100 Jump
 
10.01.16
15:57
(99)Не пойму что там у вас твориться.
Хорошо давайте так -
1)Измените в правиле порты сделайте проброс с 3389 на 3389.
2)Укажите в In интерфейсе интерфейс вашего провайдера, ну который на белый адрес смотрит.
Попробуйте доступность.
101 Jump
 
10.01.16
15:59
Просто без явного указания входящего интерфейса порт может быть не доступен из внутренней сети, а поскольку исходящий не указан, то трафик пойдет через внутреннюю сеть.
102 recovery_man
 
10.01.16
16:03
я в шоке, но и так не заходит! причем все правила файрволла в правилах я выключил временно :(  ничего!
103 Zamestas
 
10.01.16
16:03
Нужно проверить:
На 90.54.65.83 должно быть правила:
1) chain=forward action=accept protocol=tcp dst-port=23835
2) chain=dstnat action=dst-nat to-addresses=192.168.9.9 to-ports=3389
      protocol=tcp in-interface=ТутТвойWanИнтерфейс dst-port=23835
На 90.54.65.85 аналогично.
3) Что
ip route export
показывает?
104 recovery_man
 
10.01.16
16:03
маскарадить что то надо? что может мешать?
105 Zamestas
 
10.01.16
16:04
(103) + на 192.168.9.9 route print
в студию!
106 Zamestas
 
10.01.16
16:05
ip route export с обоих роутеров
107 Jump
 
10.01.16
16:11
Тут я так думаю может быть две причины-

1) Запрос не попадает на RDP сервер.
Тогда проблема с пробросом, в частности с указанием интерфейса.

2)Ответ RDP сервера уходит в шлюз по умолчанию, а не на 192.168.8.1
108 recovery_man
 
10.01.16
16:13
/ip route
add distance=1 dst-address=90.54.65.83/32 gateway=90.54.65.1
add distance=1 dst-address=192.168.9.0/24 gateway=192.168.9.11
109 Zamestas
 
10.01.16
16:13
(107) То же так думаю
110 recovery_man
 
10.01.16
16:15
add distance=1 dst-address=90.54.65.85/32 gateway=90.54.65.1
add distance=1 dst-address=192.168.8.0/24 gateway=192.168.9.22
111 Zamestas
 
10.01.16
16:16
У тунеля какие адреса?
112 recovery_man
 
10.01.16
16:16
всё что мог скинул... устал сил нет! стираю все настройки, перенастраиваю наново! нет терпения копать уже ... до встречи через 2 часа + -
113 recovery_man
 
10.01.16
16:17
192.168.9.22

192.168.9.11
114 recovery_man
 
10.01.16
16:19
причём всё пингуется и ничего не работает ... всем спасибо
115 Jump
 
10.01.16
16:19
(112) Cмотри интерфейсы при пробросе.
А чтобы не уставать скидывать повторюсь  - к вопросу надо прилагать схему сети с указанием адресов, и краткими подписями что есть что.
Тогда не придется скидывать каждому настройки  и объяснять что там и как.
116 Jump
 
10.01.16
16:20
(114) Пинг это несколько другое.
К тому же как выяснилось пингуешь ты с роутера.
А пробрасываешь во внутреннюю сеть.
Тут могут быть интересные моменты.
117 recovery_man
 
10.01.16
16:21
перестрою всё по новой, перепишу по человечески в файлик по ходу настройки, тогда буду говорить Предметно...
118 recovery_man
 
10.01.16
16:22
мне с ipsec хватило интересных моментов...тунел надо отдать и забыть, а я 2 суток уж мучаюсь... прошивку попробую откатить мало ли
119 Zamestas
 
10.01.16
16:30
(113) Это бред какой то поставь для тунеля IP адреса 10.10.10.1
10.10.10.2
для начала
120 Zamestas
 
10.01.16
16:33
(120) Т.е. структура сети должна быть:
90.54.65.85<=NAT<-192.168.9.0<10.10.10.1<-тунель->10.10.10.2>192.168.8.0->NAT=>90.54.65.83
121 recovery_man
 
10.01.16
16:47
пробовал! история таже... только тунели сначала были 10.5 и 10.6
122 recovery_man
 
10.01.16
16:48
когда не заработало, попробовал 9-ю подсеть поставить
123 Jump
 
10.01.16
16:50
(121) А маршруты ты прописывал, из сети в сеть, когда тоннель был 10.5 и 10.6
124 Jump
 
10.01.16
17:09
Вообще так делать неправильно как сейчас.
Учитывая что у вас там компьютеров нет, в сети за микротиком на котором делаете проброс, то делать лучше, проще и понятней бридж.

Т.е тоннель используете как бридж между двумя сетями.
Вот пример - http://www.unix.ck.ua/content/probros-fizicheskikh-ethernet-portov-mikrotike

Либо писать маршруты.
Выдавать глобальные идеи — это удовольствие; искать сволочные маленькие ошибки — вот настоящая работа. Фредерик Брукс-младший