Здравствуйте Уважаемые форумчане, вопрос следующео плана:
Есть 2 микротика связаны PPTP тунелем(не спрашивайте почему именно им - с айписеком намучился, плюнул!) Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ... почемуто ... помогите кто чем может! Спасибо

получить доступ по белому  айпи 192,168,8,1 (белый 90,54,65,85)микротик первый

к компу в подсети 192,168,9,1  -  192,168,9,9 (белый 90,54,65,83)- рдп!

два микротика, два ната, за одним из микротиков РДП сервак спрятан!

нету схемы, что тут схемить?

надо Стучасть на белый айпи 90.54.65.83   попадать на Машинку которая за 90.54.65.85   для этого ТУНЕЛЬ!!! но не работает!

(25) Уже лучше.
значит провайдер выдает белый адрес 90,54,65,83 микротику, за микротиком серая сеть 192,168,9,9  в которой находится нужный RDP сервер.
И к нему нужно получить доступ из интернета.
Так?

(29) так, отлько стучась на соседний роутер!!! с айпи 90.54.65.85

(28) Это что-то невообразимое.

Если нужная машина за 90.54.65.85, то надо стучаться именно  на 90.54.65.85, и на нем же пробрасывать порт до нужной машины.
А тоннель тут нафиг не нужен.

хочу светить айпи толко ВПН сервера, что б не знали кто клиент!!! и какой у него честный айпи !!!

(30) Поймите - у вас за NAT'ом не может быть белого адреса.

так мне и не надо! мне надо как то попасть с ВПН сервера, к ВПН клиенту! на рабочий стол! (что я не шарю, допинайте ногами!!!)

(32) Понятно.
Тогда забудьте вообще что есть такой адрес - 90.54.65.85
Ибо он тут не важен и никуда не стучит.

Значит у вас есть белый адрес 90,54,65,83 выданный микротику, за этим микротиком серая сеть - какая адресация сети?
И на этом же микротике поднят тоннель в сеть с нужным роутером. Какая адресация сети тоннеля?

(34) Чтобы попасть с VPN сервера к VPN клиенту нужно просто прописать маршрут!!

Но уж никак не порт пробрасывать!
Ибо никаких NAT там не может быть!

ок забыл, про адрес 90.54.65.85,  есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.9.11  РЕМУТ АДРЕС 192.168.9.22

Если у вас там тоннель поднят между сетями ( тоннель это виртуальная частная сеть)
Заметьте - частная, и там не может быть никаких белых адресов!!!

маршрут 192.168.9.11 pptp-out1 rachable
192.168.9.0/24 192.168.9.11 rachable

(37) Уважаемый двайте про что то одно.

Либо у вас есть тоннель и он работает - тогда никаких белых адресов вида 90.54.65.85 быть не может.

Либо у вас нет тонннеля и доступ нужен по белым адресам.

Так понятней?

С какого серого адреса нужно попасть на какой серый адрес.


В общем скажите адреса клиента который будет подключаться к серверу, и адрес сервера.
Именно локальный адрес, вида 192...

у мня есть тунель, и он работает не правильно

ине надо с белого адреса попасть на серый за вторым микротиком

тут не получается что то одно - никак

любой клиент стучась на сервер по белому адресу 90.54.65.83  должен попадать на пк 192,168,9,9

как тут что-то одно????

(42)Это невозможно.

(44)Это без проблем.

(46) как без проблемм????

(44) вы никак не хотите нарисовать схему сети.

Что у вас за роутером с адресом 90.54.65.83 ?
Какая там сеть?

90.54.65.83   192,168,8,0,/24

(49)отлично.
А теперь нужно узнать адресацию сети в тоннеле.

(50) (37) уже писал  
есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.9.11  РЕМУТ АДРЕС 192.168.9.22

извеняюсь

есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.8.11  РЕМУТ АДРЕС 192.168.8.22

(51) Далее нужно добиться чтобы с любого адреса сети 192,168,8,0 пинговался  адрес 192.168.9.22

Пингуется?

да

Уже лучше.
Теперь идем дальще.
Какой локальный адрес у RDP сервера, на который нужно попасть?

192,168,9,9

(56) Понятно.
Теперь такой вопрос адрес 192,168,9,9 пингуется  с компьютера в сети 192,168,8,0?

в том то и беда что пингуется!

а из вне по белому зайти - не заходит!

(58) Ну и прекрасно.

Значит из сети 192,168,8,0 вы можете свободно заходить на RDP сервер.

Осталось научить заходить туда из интернета.

Делается просто.

Идете в настройки NAT на микротике имеющем адрес 90.54.65.83
и пробрасываете порт на адрес 192,168,9,9
И все.

я и сделал dst-nat(проброс тот самы за который меня тут пинают)!!! не могу зайти из интернета!

(61) Понятно.
Если не работает нужно понять что именно не работает.

1)Проверьте удается ли зайти на  RDP сервер с компьютера находящегося в сети 192,168,8,0.

у меня там нет компов, ни одного :( всё проверяю прямо с роутера!!!

(63) Это уже хуже.
Ладно, сделаем так - на RDP сервер вообще с локальной сети зайти можно? Вы проверяли? может там файервол блокирует.
В логах сервера при попытке подключения есть что?

Т.е у вас либо проброс порта не работает, либо сам сервер подключения не принимает.

Он кстати на том же порту работает который вы пробрасывали?

dst-nat работает с белого айпи, о котором мы договорились забыть! так заходит - на прямую! порт другой в целях безопасности !!!

(66) А теперь скажите то же самое, но понятным языком.

dst-nat работает с белого айпи 90.54.65.85   а с 90.54.65.83 - нет

тоесть сам рдп сервер поднят и отвечает, вин файерволл выключил от греха подальше!

Мыши плакали, колосолись...
(68) Узел 90.54.65.83 - dst-nat на какой адрес проброс делает?

*кололись

(70) На адрес 192,168,9,9 насколько удалось выяснить. и он с этого узла пингуется.

192,168,9,9  на тот что за вторым микротиком

(68) Ок, проверим еще один момент, обратный маршрут есть?

С компьютера  192,168,9,9  пингуется адрес компьютера указанного шлюзом в сети 92,168,8,0 ?

Т.е. сеть1:
90.54.65.85
192,168,9,9/24
сеть2:
192,168,8,0,/24
90.54.65.83
все верно?

(74) Собака или там, или в правила Microtik'ов.
З.Ы.: Хождение в трех соснах на 70 постов...

да с 192,168,9,9  пингуеться роутер 192,168,8,1

(76) потому и попросил помощи, может есть что я ещё не знаю... глю в прошивке или правила не работают или ещё что :(  ума уже не приложу

(76) Так не было бы хождения, если бы автор не поленился нарисовать схему сети.

А так попробуй пойми, что ему нужно. Приходится задавать десятки вопросов, чтобы понять что у него там вообще.

просто опустил подробности уложив их в :

Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ...

Виноват исправлюсь

(77) Правило можешь показать? Скрин из winbox или  командную строку.

(80) Так вам это понятно, вы свою сеть знаете, а вот со стороны нифига не понятно.

+(81) В смысле правило которым проброс делал.

(81) я тим вьювер готов дать - лишь бы не сойти с ума сегодня из за этих правил ... (убрано цензурой) :(

(79) Да я о чем.
(84) У тебя правила на mictotik'ах одинаковые (т.е. за разностью сетей)?

chain dstnat

Protocol  6 (tcp)

dst-port  23835

Action

dstnat

to adress 192.168.9.9

to ports 3389

(86) Интерфейсы не указывали?

да одинаковые!  нет не указывал!

(88) список внутренних интерфейсов у вас какой там?

Конкретно на каком интерфейсе тоннель висит?

поднялся интерфейс pptp-of1 он в списке адресов есть! не знаю что добавить... :(

на другой стороне pptp-out интерфейс появился!

вот на этот интерфейс и нужно кидать.

в ИН или в АУТ интерфейс его надо указывать?

Т.е смотрите на каком интерфейсе у вас висит тоннель, и явно указываете этот интерфейс при пробросе.
В аут разумеется.

матерится микротик, не могу мол изменить правило :(

(96) Хм. Интересно.
Удалите правило и создайте новое.
Интерфейс точно указываете?
Вы вообще в винбоксе работаете или с командной строки?

в винбоксе! интерфейс аут  указываю: pptp

новое правило - таже история!

(99)Не пойму что там у вас твориться.
Хорошо давайте так -
1)Измените в правиле порты сделайте проброс с 3389 на 3389.
2)Укажите в In интерфейсе интерфейс вашего провайдера, ну который на белый адрес смотрит.
Попробуйте доступность.

Просто без явного указания входящего интерфейса порт может быть не доступен из внутренней сети, а поскольку исходящий не указан, то трафик пойдет через внутреннюю сеть.

я в шоке, но и так не заходит! причем все правила файрволла в правилах я выключил временно :(  ничего!

Нужно проверить:
На 90.54.65.83 должно быть правила:
1) chain=forward action=accept protocol=tcp dst-port=23835
2) chain=dstnat action=dst-nat to-addresses=192.168.9.9 to-ports=3389
      protocol=tcp in-interface=ТутТвойWanИнтерфейс dst-port=23835
На 90.54.65.85 аналогично.
3) Что
ip route export
показывает?

маскарадить что то надо? что может мешать?

(103) + на 192.168.9.9 route print
в студию!

ip route export с обоих роутеров

Тут я так думаю может быть две причины-

1) Запрос не попадает на RDP сервер.
Тогда проблема с пробросом, в частности с указанием интерфейса.

2)Ответ RDP сервера уходит в шлюз по умолчанию, а не на 192.168.8.1

/ip route
add distance=1 dst-address=90.54.65.83/32 gateway=90.54.65.1
add distance=1 dst-address=192.168.9.0/24 gateway=192.168.9.11

(107) То же так думаю

add distance=1 dst-address=90.54.65.85/32 gateway=90.54.65.1
add distance=1 dst-address=192.168.8.0/24 gateway=192.168.9.22

У тунеля какие адреса?

всё что мог скинул... устал сил нет! стираю все настройки, перенастраиваю наново! нет терпения копать уже ... до встречи через 2 часа + -

192.168.9.22

192.168.9.11

причём всё пингуется и ничего не работает ... всем спасибо

(112) Cмотри интерфейсы при пробросе.
А чтобы не уставать скидывать повторюсь  - к вопросу надо прилагать схему сети с указанием адресов, и краткими подписями что есть что.
Тогда не придется скидывать каждому настройки  и объяснять что там и как.

(114) Пинг это несколько другое.
К тому же как выяснилось пингуешь ты с роутера.
А пробрасываешь во внутреннюю сеть.
Тут могут быть интересные моменты.

перестрою всё по новой, перепишу по человечески в файлик по ходу настройки, тогда буду говорить Предметно...

мне с ipsec хватило интересных моментов...тунел надо отдать и забыть, а я 2 суток уж мучаюсь... прошивку попробую откатить мало ли

(113) Это бред какой то поставь для тунеля IP адреса 10.10.10.1
10.10.10.2
для начала

(120) Т.е. структура сети должна быть:
90.54.65.85<=NAT<-192.168.9.0<10.10.10.1<-тунель->10.10.10.2>192.168.8.0->NAT=>90.54.65.83

пробовал! история таже... только тунели сначала были 10.5 и 10.6

когда не заработало, попробовал 9-ю подсеть поставить

(121) А маршруты ты прописывал, из сети в сеть, когда тоннель был 10.5 и 10.6

Вообще так делать неправильно как сейчас.
Учитывая что у вас там компьютеров нет, в сети за микротиком на котором делаете проброс, то делать лучше, проще и понятней бридж.

Т.е тоннель используете как бридж между двумя сетями.
Вот пример - http://www.unix.ck.ua/content/probros-fizicheskikh-ethernet-portov-mikrotike

Либо писать маршруты.