VP
приборы учета обращаются к микроту в офисе по его внешнему IP в определенный порт. нужно сделать так, чтобы это обращение уходило в Базу учета.
Dstnat + srcnat в сторону базы учета
Size: a a a
2021 March 28
D
add action=netmap chain=dstnat dst-port=1938 in-interface=ether1-gateway log=yes protocol=tcp to-addresses=192.168.112.117 to-ports=1938
D
Dstnat + srcnat в сторону базы учета
что еще добавить?
VP
что еще добавить?
Разрешения в фильтре форварда для прохождения dstnatнутого трафика. Пожалуй все.
"Побочный эффект" - отсутствие в базе учета реального IP клиента. Но если Вы дефолт гейтвей для базы учета зарулите в л2тп, то это тоже решаемо.
"Побочный эффект" - отсутствие в базе учета реального IP клиента. Но если Вы дефолт гейтвей для базы учета зарулите в л2тп, то это тоже решаемо.
D
в наличии:
add action=accept chain=forward comment="Uchet" dst-port=1938 in-interface=ether1-gateway protocol=tcp
add action=accept chain=forward comment="Uchet" dst-port=1938 in-interface=ether1-gateway protocol=tcp
МЧ
Народ всем привет нужна помощь. Есть сервак на нем подняты виртуалки в дефолтной сетки VM 192.168.122.0/24 на этом же серваке есть виртуалка RouterOS на котором настроен vpn с сеткой 10.11.11.0/24. На микротике есть интерфейс смотрящий в сетку eth2 192.168.122.4/24, если с микротика пингую хосты 192.168.122.2 и 122.3 пинги есть есть же я подключаюсь к микротику по vpn то с сетки 10.11.11.0/24 я могу пингануть только 192.168.122.4 а другие хосты из этой подсети нет. Не подскажите как это разрулить?
D
оно работает, когда идет обращение к компам в локалке. но за л2тп уже не пролазит.
VP
в наличии:
add action=accept chain=forward comment="Uchet" dst-port=1938 in-interface=ether1-gateway protocol=tcp
add action=accept chain=forward comment="Uchet" dst-port=1938 in-interface=ether1-gateway protocol=tcp
К этому надо добавить маскарад с out-interface=l2tp_to_bd
D
К этому надо добавить маскарад с out-interface=l2tp_to_bd
можно подробнее?
VP
можно подробнее?
Это максимально подробно, учитывая отсутствие на схеме реального имени интерфейса. Что конкретно Вам не понятно?
VP
Максим Чапкевич
Народ всем привет нужна помощь. Есть сервак на нем подняты виртуалки в дефолтной сетки VM 192.168.122.0/24 на этом же серваке есть виртуалка RouterOS на котором настроен vpn с сеткой 10.11.11.0/24. На микротике есть интерфейс смотрящий в сетку eth2 192.168.122.4/24, если с микротика пингую хосты 192.168.122.2 и 122.3 пинги есть есть же я подключаюсь к микротику по vpn то с сетки 10.11.11.0/24 я могу пингануть только 192.168.122.4 а другие хосты из этой подсети нет. Не подскажите как это разрулить?
Скорее всего маршрутами. И, возможно, фильтром фаерволла на конечных хостах.
D
Это максимально подробно, учитывая отсутствие на схеме реального имени интерфейса. Что конкретно Вам не понятно?
извиняюсь. просто забыл как сделать, чтобы л2тп можно было в out interface выбрать. сейчас вспомнил. буду пробовать.
VP
извиняюсь. просто забыл как сделать, чтобы л2тп можно было в out interface выбрать. сейчас вспомнил. буду пробовать.
Вам нужно тот выбрать, который к базе учета ведет.
D
Не прошло
telnet 92.х.х.х 1938
Подключение к 92.х.х.х...Не удалось открыть подключение к этому узлу, на порт 1938: Сбой подключения
telnet 92.х.х.х 1938
Подключение к 92.х.х.х...Не удалось открыть подключение к этому узлу, на порт 1938: Сбой подключения
D
если телнетить по внутреннему IP то нормально все.
VP
Не прошло
telnet 92.х.х.х 1938
Подключение к 92.х.х.х...Не удалось открыть подключение к этому узлу, на порт 1938: Сбой подключения
telnet 92.х.х.х 1938
Подключение к 92.х.х.х...Не удалось открыть подключение к этому узлу, на порт 1938: Сбой подключения
Ищите ошибку по цепочке. Добавляйте логирование на правила.
D
Ищите ошибку по цепочке. Добавляйте логирование на правила.
в логах:
22:48:41 echo: firewall,info 1938: dstnat: in:ether1-gateway out:(unknown 0), src-mac 00:00:00:00:00:40, proto TCP (SYN), 85.x.x.x:25857->92.x.x.x:1938, len 64
22:48:41 echo: firewall,info 1938: 1938 srcnat: in:(unknown 0) out:<l2tp-Uchet>, src-mac 00:00:00:00:00:40, proto TCP (SYN), 85.x.x.x:25857->192.168.112.117:1938, NAT 85.x.x.x:25857->(92.x.x.x:1938->192.168.112.117:1938), len 64
ошибок по этим правилам нет.
22:48:41 echo: firewall,info 1938: dstnat: in:ether1-gateway out:(unknown 0), src-mac 00:00:00:00:00:40, proto TCP (SYN), 85.x.x.x:25857->92.x.x.x:1938, len 64
22:48:41 echo: firewall,info 1938: 1938 srcnat: in:(unknown 0) out:<l2tp-Uchet>, src-mac 00:00:00:00:00:40, proto TCP (SYN), 85.x.x.x:25857->192.168.112.117:1938, NAT 85.x.x.x:25857->(92.x.x.x:1938->192.168.112.117:1938), len 64
ошибок по этим правилам нет.
VP
в логах:
22:48:41 echo: firewall,info 1938: dstnat: in:ether1-gateway out:(unknown 0), src-mac 00:00:00:00:00:40, proto TCP (SYN), 85.x.x.x:25857->92.x.x.x:1938, len 64
22:48:41 echo: firewall,info 1938: 1938 srcnat: in:(unknown 0) out:<l2tp-Uchet>, src-mac 00:00:00:00:00:40, proto TCP (SYN), 85.x.x.x:25857->192.168.112.117:1938, NAT 85.x.x.x:25857->(92.x.x.x:1938->192.168.112.117:1938), len 64
ошибок по этим правилам нет.
22:48:41 echo: firewall,info 1938: dstnat: in:ether1-gateway out:(unknown 0), src-mac 00:00:00:00:00:40, proto TCP (SYN), 85.x.x.x:25857->92.x.x.x:1938, len 64
22:48:41 echo: firewall,info 1938: 1938 srcnat: in:(unknown 0) out:<l2tp-Uchet>, src-mac 00:00:00:00:00:40, proto TCP (SYN), 85.x.x.x:25857->192.168.112.117:1938, NAT 85.x.x.x:25857->(92.x.x.x:1938->192.168.112.117:1938), len 64
ошибок по этим правилам нет.
Не понятно в каком месте эти правила логов.
VK
Tom Tom
филтры пусто, нат только эти 2 правила активны ex не понял что это
какие "эти"?
Это команда в терминале, которая покажет "эти".
Это команда в терминале, которая покажет "эти".
D
Не понятно в каком месте эти правила логов.
