Redirekcija porta na IP adresu iz VPN mreze

[ bmarkovic06 @ 25.04.2013. 23:19 ] @

Evo ovako. Imam dve lokacije povezane vpn tunelom, prva lokacija (pptp server MT1) ima staticku IP a druga je natirana od provajdera (na MT2 pptp klijent). Iz tog razloga sam podigao VPN ka lokaciji sa statickom IP da bi spojio te dve mreze, uradio rutiranje i sve sljaka najnormalnije kako i treba (svikompovi se vide i slicno).

E sad na lokaciji gde nemam staticku javnu ip imam web server nekog DVR-a kojem najnormalnije pristupam sa prve lokacije kucajuci njegocu adresu (192.168.100.110), ali ja bih zeleo da mu pristupim i spolja gadjajuci staticku ip od MT1.

Prva mreza je u opsegu 192.168.10.0/24 Mt1 a druga 192.168.100.0/24 MT2 a web server je na adresi 192.168.100.110:8088

Probao sam klasicnim natiranjem al dzaba.

/ip firewal nat add chain=dstnat action=dst-nat to-addresses=192.168.100.110 to-ports=8088 protocol=tcp port=8088

Dodavao sam i povratnu putanju (radio src-nat) ali bez uspeha.

chain=srcnat protocol=tcp src-address=192.168.100.110 src-port=8088 action=src-nat to-addresses="javna IP od mt1" to-ports=8088

Pa me zanima vase misljenje kako ovo odraditi. Malo sam u guzvi poslednjih dana pa vremena za razmiljanje i nemam nesto preterano, zato se i obracam za pomoc. Hvala

[ milosbeo @ 26.04.2013. 01:31 ] @

ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.100.110
to-ports=8088 protocol=tcp in-interface=?(ili javna adresa) dst-port=81

Ovo bi bilo pravilo ako bi kucao sa internetra
javna ip adresa:81

[ bmarkovic06 @ 26.04.2013. 07:38 ] @

Da da, znam, probao sam vec da postavljam in interface. Probao sam dosta varijanti ali jednostavno ne prolazi. Imam dosta pravila vec odradjenih, nije mi problem kad vrsim natiranje na ip adresu iz lokalne mreze.

Cak sam probao i varijantu da radim dstnat na adresu VPN klijenta 10.0.0.100 (kod podesavanja pptp sam postavio remote address 10.0.0.100 a local na 10.0.0.1 i posle dodao staticke rute da mi je za dst adress 192.168.10.0/24 gateway 10.0.0.1 i obrnuto) pa na MT2 ruteru opet dstnat na ip adresus servera ali za in interface pptp-out1 i opet bez uspeha.

[ Predrag Supurovic @ 26.04.2013. 08:26 ] @

Verovatno te zeza rutiranje. Na toj drugoj lokaciji ti je default gateway lokani internet link, pa kada server odgovori na upit, to se vrati kroz taj link umesto kroz VPN.

Probaj da privremeno na serveru podesis da je default gateway VPN link pa vidi da li ce tada da radi.

[ bmarkovic06 @ 26.04.2013. 11:14 ] @

Upravo iz tog razloga sam i radio src-nat, zvog povratne putanje. Uglavnom probacu danas to sa gateway-om pa ako radi onda negde gresim.

[ tandrkalo1 @ 26.04.2013. 14:09 ] @

Koliko znam nije dovoljno samo taj port preusmeriti.
Mozes li napisati koji dvr je tacno i koji softver koristi pa da ti napisem koje portove jos treba da odradis.
Pokusaj od 0-65000 da preusmeris sve portove pa da vidis da li ce raditi.
Znam da hoce da zeza kroz VPN.

[ bmarkovic06 @ 26.04.2013. 15:59 ] @

Citat:

tandrkalo1: Koliko znam nije dovoljno samo taj port preusmeriti.
Mozes li napisati koji dvr je tacno i koji softver koristi pa da ti napisem koje portove jos treba da odradis.
Pokusaj od 0-65000 da preusmeris sve portove pa da vidis da li ce raditi.
Znam da hoce da zeza kroz VPN.

Ma jok, nije potreban nijedan vise port. Ima web port 80, njegov media port 8088 koji sam promenio sa 3454 i jedino ako mi je potrebno propustam 554 za rtsp mada to mi nije potrebno. Potrebno mi je da mi radi CMS softver (anzaSec dvr 8-kanalni). Sve inace radi na drugoj strani gde isto imam taj dvr i potrebno je bilo samo propustiti 8087 port

[ bmarkovic06 @ 26.04.2013. 18:37 ] @

Citat:

Predrag Supurovic:
Verovatno te zeza rutiranje. Na toj drugoj lokaciji ti je default gateway lokani internet link, pa kada server odgovori na upit, to se vrati kroz taj link umesto kroz VPN.

Probaj da privremeno na serveru podesis da je default gateway VPN link pa vidi da li ce tada da radi.

Probao i dalje nema pristupa. Probao cak na samom ruteru da postavim da mi je gateway 10.0.0.1 i celu maskaradu cak stavio na pptp-out1 i opet nista.

[ zivanicd @ 29.04.2013. 22:21 ] @

Podesi na MT gde ti je server u mrezi (lokacija 2 kako sam razume) u ip routes poseban rule sa SRC adresom tog servera.
U tom posebnom rulu postavi da ti je default gateway MT na drugoj lokaciji. Taj rul obavezno stavi da se izvrsava pre MAIN tabele.

Tako ces ceo saobracaj sa tog web servera da guras kroz MT na drugoj lokaciji. Ovde dalje ne bi trebalo da ti predstavlja problem (snat/dnat).

Mi smo radili varijante gde firma ima 4-5 ispostave koje su u mrezi i povezane su na centralni DOMAIN server.
Na 3 lokacije kompletan saobracaj "ide do centralne lokacije" pa tu kroz proxy dalje na internet.
Na 2 lokacije neki racunari imaju direktan izlaz na internet, dok ostali opet idu na proxy pa na net...

Druga kombinacija koju smo radili je umrezavanje firme koja ima 20 maloprodajnih objekata.
Na svim lokacijama postoje IP kamere kojima se pristupa kroz VPN i imaju 1 javnu IP adresu na centralnoj lokaciji. Mislim da je ovo resenje koje ti treba.

Ako se ne snadjes pisi pa da pustim neki config za probu.

Gledaj kuda ti ide saobracaj u oba smera i uradi rute kako treba. Pokusavaj da izbegnes nepotrebno natovanje/maskarade vec gledaj da sve radis sa basic rutiranjem.

[ bmarkovic06 @ 04.05.2013. 11:00 ] @

Hvala na odgovoru. Probao sam sa klasicnim rutiranjem, samo mi nije jasno kako da stavim da se izvrsava pre main tabele kad je to jedina tabela.

Citat:

zivanicd: Podesi na MT gde ti je server u mrezi (lokacija 2 kako sam razume) u ip routes poseban rule sa SRC adresom tog servera.
U tom posebnom rulu postavi da ti je default gateway MT na drugoj lokaciji. Taj rul obavezno stavi da se izvrsava pre MAIN tabele.

Druga kombinacija koju smo radili je umrezavanje firme koja ima 20 maloprodajnih objekata.
Na svim lokacijama postoje IP kamere kojima se pristupa kroz VPN i imaju 1 javnu IP adresu na centralnoj lokaciji. Mislim da je ovo resenje koje ti treba.

Ako se ne snadjes pisi pa da pustim neki config za probu.

Gledaj kuda ti ide saobracaj u oba smera i uradi rute kako treba. Pokusavaj da izbegnes nepotrebno natovanje/maskarade vec gledaj da sve radis sa basic rutiranjem.

Da bas ova druga kombinacija mi je potrebna. Treba da pratim kamere u selu gde nemam staticku ip vec provajder vrsi natovanje (mogu da zaboravim da provajdera ganjam za pustanje portova). Kod kuce imam staticku IP i VPN ka lokaciji u selu. E sad kad sam kuci naravno sve radi, ali zelim da imam pristup i kada sam van kuce prosto gadjajuci staticku IP sa portom 8088.

Ako nije problem da pustis taj config kada stignes pa da probam.

Hristos vaskrese.

[ zivanicd @ 07.05.2013. 00:01 ] @

Pustam ti sutra config jer sam sad stigao sa ivkove slave... spojili smo prvi maj, uskrs i djurdjevdan kod taste na salasu pa nisam bas sposoban za kucanje :)

Kratak odgovor vezan za rule samo:

U IP ROUTE RULE uradis:
ADD 192.168.100.0/24 table VPN
ADD 0.0.0.0/0 table MAIN

U IP ROUTE onda stavis staticke rute za ove RULE:
za table VPN stavis default rutu kroz IP adrese VPN-a
za table MAIN stavis default rutu

Sutra pastujem konfiguraciju broj 2 kao sto si trazio.

POz

_{[Ovu poruku je menjao zivanicd dana 07.05.2013. u 01:20 GMT+1]}

[ bmarkovic06 @ 24.08.2013. 16:21 ] @

Poz Dejane. Evo zatrebala mi je upravo ova druga solucija. Nasao sam malo vremena pa da probam opet ono. Postuj tu drugu konfiguraciju kad stignes. Znaci treba da pristupim kamerama koje se nalaze na lokaciji koja je sa pptp tunelom povezana na mikrotik ko kuce sa statickom IP. Treba da pratim kamere, odnosno propustim port (sada 34567) da gadja adresu web servera DVR-a na lokaciji gde nemam staticku javnu (btw natiran sam od strane provajdera) sa lokalnom adresom 192.168.12.250 dok mi je kuci oseg 192.168.10.0/24. VPN radi najnormalnije, obe strane se vide itd...