+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проброс портов через IPSec туннель

Проброс портов через IPSec туннель, RouterOS

tonkska

Guest

04.02.2014 15:36:00

Привет! Нам нужно пробросить несколько портов через IPSEC-туннель на сервер в другом офисе. Как это настроить? У нас уже есть настроенный и работающий IPSEC-туннель.

Сайт A
WAN IP: 1.1.1.1
Внутренний IP: 172.16.0.0/16
Хотим пробросить порт 80 на 172.17.10.10 в Сайте B

Сайт B
WAN IP: 2.2.2.2
Внутренний IP: 172.17.0.0/16
Хотим принимать пакеты на порту 80 через Сайт A по адресу 1.1.1.1

[Интернет] -> 1.1.1.1:80 (WAN Сайта A) → [IPSEC-туннель] → 172.17.10.10:80 (LAN Сайта B)

Как это правильно настроить?

pe1chl

Guest

17.04.2017 08:10:00

Нет, это не уровень L2, это был бы туннель EoIP. Но его можно настроить с IP, как обычное Ethernet-соединение, то есть с IP-адресами и правилами файрвола. Динамический адрес, думаю, не проблема, правда, у меня с этим опыта нет.

strg

Guest

28.06.2015 16:52:00

Здравствуйте, у меня похожая ситуация: всё работает, но скорость при использовании внешнего IP с локального сайта A для доступа к порту 80 на сервере с сайта B низкая. Максимальная скорость — 5-6 Мбит/с, хотя если я делаю тест скорости напрямую с сайта A на сайт B, то скорость около 40 Мбит/с. Также скорость с сайта A/B в Интернет — 100 Мбит/с на загрузку и 50 Мбит/с на выгрузку. В чём может быть проблема?

pukkita Guest	#4 0 28.06.2015 17:46:00 Каких раннинбеков ты используешь? Может, они просто не справляются с шифрованием.

strg Guest	#5 0 28.06.2015 18:23:00 RB450G с ОС версии 6.29.1

strg Guest	#6 0 02.07.2015 07:40:00 Никто? Я прочитал всё, что мог найти... Не могу представить, почему скорость такая низкая при доступе к серверу сайта B через внешний IP сайта A.

pukkita Guest	#7 0 02.07.2015 20:42:00 Ты проверял, не уходит ли загрузка процессора на 100% при такой передаче? У тебя есть очереди?

strg

Guest

03.07.2015 05:30:00

Хм, у меня был один неограниченный очередь, как только я его отключил, трафик вырос до 18 Мбит/с вместо 5, но стабильности нет… сильно колеблется. Загруженность процессора около 50 %. В любом случае, намного лучше.

helipos

Guest

14.04.2017 08:58:00

Окей, я пытаюсь следовать этому руководству, но у меня проблемы. В приложении файл с диаграммой сети. Сейчас я могу без проблем получить доступ к устройствам в удалённой LAN. Но вот с открытием порта из интернета — гораздо сложнее. Вот соответствующие настройки файрвола на HAP:

add action=dst-nat chain=dstnat comment=“Port Translation for Work Cisco SSH” dst-port=50003 in-interface=ether1 protocol=tcp to-addresses=192.168.6.1 to-ports=22
add action=src-nat chain=srcnat dst-address=192.168.6.1 dst-port=23 protocol=tcp to-addresses=192.168.1.200 to-ports=22

Первая строка срабатывает, когда я её использую, так что, подозреваю, она работает. Вторая строка не срабатывает, подозреваю, что она как-то сломана. По поводу изменения исходного адреса (подчёркнуто) — я честно говоря не знаю, что сюда поставить, использовать IP моста или что-то ещё?

На mAP lite релевантные правила файрвола такие:
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.6.0/24
add action=masquerade chain=srcnat out-interface=wlan1

Любая помощь будет очень кстати.
Personal intranet.pdf (42.7 KB)

pe1chl

Guest

#10

14.04.2017 11:02:00

Как всегда, рекомендую использовать IPIP или GRE-туннель поверх IPsec (вводить ключ IPsec в определении интерфейса), а не IPsec-туннель напрямую. Всё будет работать так же, как обычное Ethernet-соединение, и можно применять стандартные методы для проброса портов.

helipos

Guest

#11

17.04.2017 02:44:00

Когда ты говоришь «работает как Ethernet-соединение», ты реально имеешь в виду уровень 2? Думаю, пример конфигурации или схема помогли бы, если у тебя есть что-то под рукой. Большинство моих удалённых подключений имеют динамические WAN IP — IPIP с этим справится? Сегодня попробую поэкспериментировать на работе, посмотрю, что получится.

helipos Guest	#12 0 17.04.2017 05:24:00 Ну, я наконец-то запустил это — была простая ошибка: dst-nat получал данные с неправильного порта назначения. Вот конфигурация, точнее, только нужные разделы. (в круглых скобках — изменения по понятным причинам). Удалённый сайт с динамическим IP. /ip pool add name=Cisco_Lab_DHCP_Pool ranges=192.168.6.100-192.168.6.200 /ip dhcp-server add address-pool=Cisco_Lab_DHCP_Pool disabled=no interface=bridge-vlan60 name=Cisco_Lab_DHCP /interface bridge port add bridge=bridge-vlan60 interface=ether1 /ip address add address=192.168.6.254/24 interface=bridge-vlan60 network=192.168.6.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=wlan1 /ip dhcp-server network add address=192.168.6.0/24 gateway=192.168.6.254 /ip firewall filter add action=accept chain=forward dst-address=192.168.1.0/24 src-address=192.168.6.0/24 add action=accept chain=forward dst-address=192.168.6.0/24 src-address=192.168.1.0/24 add action=accept chain=forward disabled=yes dst-address=192.168.6.254 src-address=192.168.6.1 add action=accept chain=forward disabled=yes /ip firewall nat add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.6.0/24 add action=masquerade chain=srcnat out-interface=wlan1 /ip ipsec peer add address=(static IP target at home)/32 enc-algorithm=aes-256 hash-algorithm=sha512 nat-traversal=no secret=“(password)” /ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=(static IP target at home) sa-src-address=0.0.0.0 src-address=192.168.6.0/24 tunnel=yes /system identity set name=Cisco_Lab /system scheduler add interval=1m name=“1min Ping” on-event=(name) policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=dec/31/2016 start-time=07:58:13 /system script add name=(name) owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":put [ping 192.168.1.254 src-address=192.168.6.254 count=2] Домашний адрес со статическим IP /ip address add address=192.168.1.254/24 interface=bridge2 network=192.168.1.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.254 netmask=24 /ip firewall nat add action=accept chain=srcnat dst-address=192.168.6.0/24 src-address=192.168.1.0/24 add action=accept chain=srcnat dst-address=192.168.4.0/24 src-address=192.168.1.0/24 add action=dst-nat chain=dstnat comment=“Port Translation for Work Cisco SSH” dst-port=(an external port) in-interface=ether1 protocol=tcp to-addresses=192.168.6.1 to-ports=22 add action=src-nat chain=srcnat dst-address=192.168.6.1 dst-port=22 protocol=tcp to-addresses=192.168.1.254 to-ports=22 add action=masquerade chain=srcnat out-interface=ether1 /ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256 generate-policy=port-strict hash-algorithm=sha512 local-address=(my local WAN IP static) nat-traversal=no secret=“(password)”

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры