|
Mikrotik ПРоброс порта, через 2 микротика, pptp настроен! не вижe RDP Серверов | ☑ | ||
---|---|---|---|---|
0
recovery_man
10.01.16
✎
04:05
|
Здравствуйте Уважаемые форумчане, вопрос следующео плана:
Есть 2 микротика связаны PPTP тунелем(не спрашивайте почему именно им - с айписеком намучился, плюнул!) Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ... почемуто ... помогите кто чем может! Спасибо |
|||
25
recovery_man
10.01.16
✎
14:13
|
получить доступ по белому айпи 192,168,8,1 (белый 90,54,65,85)микротик первый
к компу в подсети 192,168,9,1 - 192,168,9,9 (белый 90,54,65,83)- рдп! |
|||
26
recovery_man
10.01.16
✎
14:14
|
два микротика, два ната, за одним из микротиков РДП сервак спрятан!
|
|||
27
recovery_man
10.01.16
✎
14:15
|
нету схемы, что тут схемить?
|
|||
28
recovery_man
10.01.16
✎
14:19
|
надо Стучасть на белый айпи 90.54.65.83 попадать на Машинку которая за 90.54.65.85 для этого ТУНЕЛЬ!!! но не работает!
|
|||
29
Jump
10.01.16
✎
14:20
|
(25) Уже лучше.
значит провайдер выдает белый адрес 90,54,65,83 микротику, за микротиком серая сеть 192,168,9,9 в которой находится нужный RDP сервер. И к нему нужно получить доступ из интернета. Так? |
|||
30
recovery_man
10.01.16
✎
14:21
|
(29) так, отлько стучась на соседний роутер!!! с айпи 90.54.65.85
|
|||
31
Jump
10.01.16
✎
14:22
|
(28) Это что-то невообразимое.
Если нужная машина за 90.54.65.85, то надо стучаться именно на 90.54.65.85, и на нем же пробрасывать порт до нужной машины. А тоннель тут нафиг не нужен. |
|||
32
recovery_man
10.01.16
✎
14:23
|
хочу светить айпи толко ВПН сервера, что б не знали кто клиент!!! и какой у него честный айпи !!!
|
|||
33
Jump
10.01.16
✎
14:23
|
(30) Поймите - у вас за NAT'ом не может быть белого адреса.
|
|||
34
recovery_man
10.01.16
✎
14:25
|
так мне и не надо! мне надо как то попасть с ВПН сервера, к ВПН клиенту! на рабочий стол! (что я не шарю, допинайте ногами!!!)
|
|||
35
Jump
10.01.16
✎
14:26
|
(32) Понятно.
Тогда забудьте вообще что есть такой адрес - 90.54.65.85 Ибо он тут не важен и никуда не стучит. Значит у вас есть белый адрес 90,54,65,83 выданный микротику, за этим микротиком серая сеть - какая адресация сети? И на этом же микротике поднят тоннель в сеть с нужным роутером. Какая адресация сети тоннеля? |
|||
36
Jump
10.01.16
✎
14:27
|
(34) Чтобы попасть с VPN сервера к VPN клиенту нужно просто прописать маршрут!!
Но уж никак не порт пробрасывать! Ибо никаких NAT там не может быть! |
|||
37
recovery_man
10.01.16
✎
14:28
|
ок забыл, про адрес 90.54.65.85, есть тунел на впн сервере 90.54.65.83 адреса впн ЛОКАЛ АДРЕСС 192.168.9.11 РЕМУТ АДРЕС 192.168.9.22
|
|||
38
Jump
10.01.16
✎
14:28
|
Если у вас там тоннель поднят между сетями ( тоннель это виртуальная частная сеть)
Заметьте - частная, и там не может быть никаких белых адресов!!! |
|||
39
recovery_man
10.01.16
✎
14:30
|
маршрут 192.168.9.11 pptp-out1 rachable
192.168.9.0/24 192.168.9.11 rachable |
|||
40
Jump
10.01.16
✎
14:30
|
(37) Уважаемый двайте про что то одно.
Либо у вас есть тоннель и он работает - тогда никаких белых адресов вида 90.54.65.85 быть не может. Либо у вас нет тонннеля и доступ нужен по белым адресам. Так понятней? |
|||
41
Jump
10.01.16
✎
14:31
|
С какого серого адреса нужно попасть на какой серый адрес.
В общем скажите адреса клиента который будет подключаться к серверу, и адрес сервера. Именно локальный адрес, вида 192... |
|||
42
recovery_man
10.01.16
✎
14:32
|
у мня есть тунель, и он работает не правильно
ине надо с белого адреса попасть на серый за вторым микротиком |
|||
43
recovery_man
10.01.16
✎
14:32
|
тут не получается что то одно - никак
|
|||
44
recovery_man
10.01.16
✎
14:33
|
любой клиент стучась на сервер по белому адресу 90.54.65.83 должен попадать на пк 192,168,9,9
|
|||
45
recovery_man
10.01.16
✎
14:34
|
как тут что-то одно????
|
|||
46
Jump
10.01.16
✎
14:35
|
(42)Это невозможно.
(44)Это без проблем. |
|||
47
recovery_man
10.01.16
✎
14:36
|
(46) как без проблемм????
|
|||
48
Jump
10.01.16
✎
14:36
|
(44) вы никак не хотите нарисовать схему сети.
Что у вас за роутером с адресом 90.54.65.83 ? Какая там сеть? |
|||
49
recovery_man
10.01.16
✎
14:37
|
90.54.65.83 192,168,8,0,/24
|
|||
50
Jump
10.01.16
✎
14:38
|
(49)отлично.
А теперь нужно узнать адресацию сети в тоннеле. |
|||
51
recovery_man
10.01.16
✎
14:40
|
(50) (37) уже писал
есть тунел на впн сервере 90.54.65.83 адреса впн ЛОКАЛ АДРЕСС 192.168.9.11 РЕМУТ АДРЕС 192.168.9.22 |
|||
52
recovery_man
10.01.16
✎
14:41
|
извеняюсь
есть тунел на впн сервере 90.54.65.83 адреса впн ЛОКАЛ АДРЕСС 192.168.8.11 РЕМУТ АДРЕС 192.168.8.22 |
|||
53
Jump
10.01.16
✎
14:41
|
(51) Далее нужно добиться чтобы с любого адреса сети 192,168,8,0 пинговался адрес 192.168.9.22
Пингуется? |
|||
54
recovery_man
10.01.16
✎
14:43
|
да
|
|||
55
Jump
10.01.16
✎
14:44
|
Уже лучше.
Теперь идем дальще. Какой локальный адрес у RDP сервера, на который нужно попасть? |
|||
56
recovery_man
10.01.16
✎
14:45
|
192,168,9,9
|
|||
57
Jump
10.01.16
✎
14:46
|
(56) Понятно.
Теперь такой вопрос адрес 192,168,9,9 пингуется с компьютера в сети 192,168,8,0? |
|||
58
recovery_man
10.01.16
✎
14:47
|
в том то и беда что пингуется!
|
|||
59
recovery_man
10.01.16
✎
14:47
|
а из вне по белому зайти - не заходит!
|
|||
60
Jump
10.01.16
✎
14:49
|
(58) Ну и прекрасно.
Значит из сети 192,168,8,0 вы можете свободно заходить на RDP сервер. Осталось научить заходить туда из интернета. Делается просто. Идете в настройки NAT на микротике имеющем адрес 90.54.65.83 и пробрасываете порт на адрес 192,168,9,9 И все. |
|||
61
recovery_man
10.01.16
✎
14:51
|
я и сделал dst-nat(проброс тот самы за который меня тут пинают)!!! не могу зайти из интернета!
|
|||
62
Jump
10.01.16
✎
14:53
|
(61) Понятно.
Если не работает нужно понять что именно не работает. 1)Проверьте удается ли зайти на RDP сервер с компьютера находящегося в сети 192,168,8,0. |
|||
63
recovery_man
10.01.16
✎
14:55
|
у меня там нет компов, ни одного :( всё проверяю прямо с роутера!!!
|
|||
64
Jump
10.01.16
✎
15:00
|
(63) Это уже хуже.
Ладно, сделаем так - на RDP сервер вообще с локальной сети зайти можно? Вы проверяли? может там файервол блокирует. В логах сервера при попытке подключения есть что? |
|||
65
Jump
10.01.16
✎
15:00
|
Т.е у вас либо проброс порта не работает, либо сам сервер подключения не принимает.
Он кстати на том же порту работает который вы пробрасывали? |
|||
66
recovery_man
10.01.16
✎
15:04
|
dst-nat работает с белого айпи, о котором мы договорились забыть! так заходит - на прямую! порт другой в целях безопасности !!!
|
|||
67
Jump
10.01.16
✎
15:10
|
(66) А теперь скажите то же самое, но понятным языком.
|
|||
68
recovery_man
10.01.16
✎
15:11
|
dst-nat работает с белого айпи 90.54.65.85 а с 90.54.65.83 - нет
|
|||
69
recovery_man
10.01.16
✎
15:12
|
тоесть сам рдп сервер поднят и отвечает, вин файерволл выключил от греха подальше!
|
|||
70
Zamestas
10.01.16
✎
15:14
|
Мыши плакали, колосолись...
(68) Узел 90.54.65.83 - dst-nat на какой адрес проброс делает? |
|||
71
Zamestas
10.01.16
✎
15:14
|
*кололись
|
|||
72
Jump
10.01.16
✎
15:16
|
(70) На адрес 192,168,9,9 насколько удалось выяснить. и он с этого узла пингуется.
|
|||
73
recovery_man
10.01.16
✎
15:16
|
192,168,9,9 на тот что за вторым микротиком
|
|||
74
Jump
10.01.16
✎
15:17
|
(68) Ок, проверим еще один момент, обратный маршрут есть?
С компьютера 192,168,9,9 пингуется адрес компьютера указанного шлюзом в сети 92,168,8,0 ? |
|||
75
Zamestas
10.01.16
✎
15:18
|
Т.е. сеть1:
90.54.65.85 192,168,9,9/24 сеть2: 192,168,8,0,/24 90.54.65.83 все верно? |
|||
76
Zamestas
10.01.16
✎
15:20
|
(74) Собака или там, или в правила Microtik'ов.
З.Ы.: Хождение в трех соснах на 70 постов... |
|||
77
recovery_man
10.01.16
✎
15:21
|
да с 192,168,9,9 пингуеться роутер 192,168,8,1
|
|||
78
recovery_man
10.01.16
✎
15:22
|
(76) потому и попросил помощи, может есть что я ещё не знаю... глю в прошивке или правила не работают или ещё что :( ума уже не приложу
|
|||
79
Jump
10.01.16
✎
15:24
|
(76) Так не было бы хождения, если бы автор не поленился нарисовать схему сети.
А так попробуй пойми, что ему нужно. Приходится задавать десятки вопросов, чтобы понять что у него там вообще. |
|||
80
recovery_man
10.01.16
✎
15:26
|
просто опустил подробности уложив их в :
Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ... Виноват исправлюсь |
|||
81
Jump
10.01.16
✎
15:26
|
(77) Правило можешь показать? Скрин из winbox или командную строку.
|
|||
82
Jump
10.01.16
✎
15:28
|
(80) Так вам это понятно, вы свою сеть знаете, а вот со стороны нифига не понятно.
|
|||
83
Jump
10.01.16
✎
15:28
|
+(81) В смысле правило которым проброс делал.
|
|||
84
recovery_man
10.01.16
✎
15:28
|
(81) я тим вьювер готов дать - лишь бы не сойти с ума сегодня из за этих правил ... (убрано цензурой) :(
|
|||
85
Zamestas
10.01.16
✎
15:31
|
(79) Да я о чем.
(84) У тебя правила на mictotik'ах одинаковые (т.е. за разностью сетей)? |
|||
86
recovery_man
10.01.16
✎
15:31
|
chain dstnat
Protocol 6 (tcp) dst-port 23835 Action dstnat to adress 192.168.9.9 to ports 3389 |
|||
87
Jump
10.01.16
✎
15:32
|
(86) Интерфейсы не указывали?
|
|||
88
recovery_man
10.01.16
✎
15:32
|
да одинаковые! нет не указывал!
|
|||
89
Jump
10.01.16
✎
15:36
|
(88) список внутренних интерфейсов у вас какой там?
|
|||
90
Jump
10.01.16
✎
15:38
|
Конкретно на каком интерфейсе тоннель висит?
|
|||
91
recovery_man
10.01.16
✎
15:41
|
поднялся интерфейс pptp-of1 он в списке адресов есть! не знаю что добавить... :(
|
|||
92
recovery_man
10.01.16
✎
15:42
|
на другой стороне pptp-out интерфейс появился!
|
|||
93
Jump
10.01.16
✎
15:42
|
вот на этот интерфейс и нужно кидать.
|
|||
94
recovery_man
10.01.16
✎
15:44
|
в ИН или в АУТ интерфейс его надо указывать?
|
|||
95
Jump
10.01.16
✎
15:44
|
Т.е смотрите на каком интерфейсе у вас висит тоннель, и явно указываете этот интерфейс при пробросе.
В аут разумеется. |
|||
96
recovery_man
10.01.16
✎
15:47
|
матерится микротик, не могу мол изменить правило :(
|
|||
97
Jump
10.01.16
✎
15:50
|
(96) Хм. Интересно.
Удалите правило и создайте новое. Интерфейс точно указываете? Вы вообще в винбоксе работаете или с командной строки? |
|||
98
recovery_man
10.01.16
✎
15:52
|
в винбоксе! интерфейс аут указываю: pptp
|
|||
99
recovery_man
10.01.16
✎
15:54
|
новое правило - таже история!
|
|||
100
Jump
10.01.16
✎
15:57
|
(99)Не пойму что там у вас твориться.
Хорошо давайте так - 1)Измените в правиле порты сделайте проброс с 3389 на 3389. 2)Укажите в In интерфейсе интерфейс вашего провайдера, ну который на белый адрес смотрит. Попробуйте доступность. |
|||
101
Jump
10.01.16
✎
15:59
|
Просто без явного указания входящего интерфейса порт может быть не доступен из внутренней сети, а поскольку исходящий не указан, то трафик пойдет через внутреннюю сеть.
|
|||
102
recovery_man
10.01.16
✎
16:03
|
я в шоке, но и так не заходит! причем все правила файрволла в правилах я выключил временно :( ничего!
|
|||
103
Zamestas
10.01.16
✎
16:03
|
Нужно проверить:
На 90.54.65.83 должно быть правила: 1) chain=forward action=accept protocol=tcp dst-port=23835 2) chain=dstnat action=dst-nat to-addresses=192.168.9.9 to-ports=3389 protocol=tcp in-interface=ТутТвойWanИнтерфейс dst-port=23835 На 90.54.65.85 аналогично. 3) Что ip route export показывает? |
|||
104
recovery_man
10.01.16
✎
16:03
|
маскарадить что то надо? что может мешать?
|
|||
105
Zamestas
10.01.16
✎
16:04
|
(103) + на 192.168.9.9 route print
в студию! |
|||
106
Zamestas
10.01.16
✎
16:05
|
ip route export с обоих роутеров
|
|||
107
Jump
10.01.16
✎
16:11
|
Тут я так думаю может быть две причины-
1) Запрос не попадает на RDP сервер. Тогда проблема с пробросом, в частности с указанием интерфейса. 2)Ответ RDP сервера уходит в шлюз по умолчанию, а не на 192.168.8.1 |
|||
108
recovery_man
10.01.16
✎
16:13
|
/ip route
add distance=1 dst-address=90.54.65.83/32 gateway=90.54.65.1 add distance=1 dst-address=192.168.9.0/24 gateway=192.168.9.11 |
|||
109
Zamestas
10.01.16
✎
16:13
|
(107) То же так думаю
|
|||
110
recovery_man
10.01.16
✎
16:15
|
add distance=1 dst-address=90.54.65.85/32 gateway=90.54.65.1
add distance=1 dst-address=192.168.8.0/24 gateway=192.168.9.22 |
|||
111
Zamestas
10.01.16
✎
16:16
|
У тунеля какие адреса?
|
|||
112
recovery_man
10.01.16
✎
16:16
|
всё что мог скинул... устал сил нет! стираю все настройки, перенастраиваю наново! нет терпения копать уже ... до встречи через 2 часа + -
|
|||
113
recovery_man
10.01.16
✎
16:17
|
192.168.9.22
192.168.9.11 |
|||
114
recovery_man
10.01.16
✎
16:19
|
причём всё пингуется и ничего не работает ... всем спасибо
|
|||
115
Jump
10.01.16
✎
16:19
|
(112) Cмотри интерфейсы при пробросе.
А чтобы не уставать скидывать повторюсь - к вопросу надо прилагать схему сети с указанием адресов, и краткими подписями что есть что. Тогда не придется скидывать каждому настройки и объяснять что там и как. |
|||
116
Jump
10.01.16
✎
16:20
|
(114) Пинг это несколько другое.
К тому же как выяснилось пингуешь ты с роутера. А пробрасываешь во внутреннюю сеть. Тут могут быть интересные моменты. |
|||
117
recovery_man
10.01.16
✎
16:21
|
перестрою всё по новой, перепишу по человечески в файлик по ходу настройки, тогда буду говорить Предметно...
|
|||
118
recovery_man
10.01.16
✎
16:22
|
мне с ipsec хватило интересных моментов...тунел надо отдать и забыть, а я 2 суток уж мучаюсь... прошивку попробую откатить мало ли
|
|||
119
Zamestas
10.01.16
✎
16:30
|
(113) Это бред какой то поставь для тунеля IP адреса 10.10.10.1
10.10.10.2 для начала |
|||
120
Zamestas
10.01.16
✎
16:33
|
(120) Т.е. структура сети должна быть:
90.54.65.85<=NAT<-192.168.9.0<10.10.10.1<-тунель->10.10.10.2>192.168.8.0->NAT=>90.54.65.83 |
|||
121
recovery_man
10.01.16
✎
16:47
|
пробовал! история таже... только тунели сначала были 10.5 и 10.6
|
|||
122
recovery_man
10.01.16
✎
16:48
|
когда не заработало, попробовал 9-ю подсеть поставить
|
|||
123
Jump
10.01.16
✎
16:50
|
(121) А маршруты ты прописывал, из сети в сеть, когда тоннель был 10.5 и 10.6
|
|||
124
Jump
10.01.16
✎
17:09
|
Вообще так делать неправильно как сейчас.
Учитывая что у вас там компьютеров нет, в сети за микротиком на котором делаете проброс, то делать лучше, проще и понятней бридж. Т.е тоннель используете как бридж между двумя сетями. Вот пример - http://www.unix.ck.ua/content/probros-fizicheskikh-ethernet-portov-mikrotike Либо писать маршруты. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |