Mikrotik ПРоброс порта, через 2 микротика, pptp настроен! не вижe RDP Серверов #762293

Здравствуйте Уважаемые форумчане, вопрос следующео плана: Есть 2 микротика связаны PPTP тунелем(не спрашивайте почему именно им - с айписеком намучился, плюнул!) Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ... почемуто ... помогите кто чем может! Спасибо

Здравствуйте Уважаемые форумчане, вопрос следующео плана: Есть 2 микротика связаны PPTP тунелем(не спрашивайте почему именно им - с айписеком намучился, плюнул!) Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ... почемуто ... помогите кто чем может! Спасибо

Накуа проброс порта?

Хочу светить, только второго роутера белым айпишником, что б о первом никто не знал! что за ним есть какие сервера и службы! Проброс делаю на белый айпи второго микротика, порт 887799 а принимаю на на первом микротике на порт 3389 ... мне нужен удаленный рабочий стол!

Вообще ничего не понял. При чем тут "проброс делаю на белый айпи" если у тебя тунель?

Есть 2 белый айпи на микротиках! Связал микротики тунелем! Сделал проброс порта на первый микротик, мне нужен за ним стоящий сервер с удаленным рабочим столом! - всё заработало, Теперь надо сделать так же, но через белый айпи второго микротика!

Если у тебя роутер2 связан тунелем с роутером1, подключение происходит к роутеру2, то что бы все работало нужно: 1) Роутер2 должен знать маршрут к сети с RDP сервером. 2) RDP сервер должен знать маршрут к Роутеру2. 3) Ну роутере2 должен быть настроен проброс порта 3389 на RDP сервер.

Можно конечно тупо (через попу) сделать 2 проброса (роутер2->роутер1->RDP сервер), но на любителя изврат.

Они пингуют друг друга! свои подсети точнее ... это укладывается в определение Знать маршрут к сети?

Не укладывается.

а что укладывается? как сделать правильно? (маршрут через тунель ко второму микротик Прописан!)

Если они пингуют друг-друга то нахрена проброс портов? Проброс портов нужен для доступа к устройствам за NAТ. Где тут у вас NAT? Если нет NAT значит нет и проброса портов, ибо через что пробрасывать?

покажи tracert из сети 1 к роутеру 2 и из сети 2 к роутеру 1

нужен проброс через 2 НАТ!!! так понятнее???

сек

Конечно понятнее, только почему об этом в ни слова, а вместо этого куча не нужной информации про PPTP тоннели.

Виноват! Нуб!

тут смотрел? может приоритеты нарушены? И подсети  разные или одинаковые?

Тогда не понятно вот это - "Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но" Проброс порта делают как раз потому что пинговать не возможно, ибо идет трансляция адресов. Если пингуется то никакого проброса портов не нужно!!!

192.168.8.1  трасерт с него на   192.168.9.1 192.168.9.11   - тунель 192.168.9.1   - назначение

Опишите лучше схематично структуру сети, с указанием ip адресов. А то на словах боюсь долго вы так будете выяснять. А по схеме все проще.

А где NAT?

2 роутера 2 честный айпи, сети 192.168.9.0/24   и 192.168.8.0/24

не понял , не знаю

Схему сети, с адресами и указанием точек откуда и куда надо получить доступ.

Что значит не поняли, не знаете? Вы утверждали в что у вас два NAT. Так где они? Откуда и куда идет трансляция адресов?

получить доступ по белому  айпи 192,168,8,1 (белый 90,54,65,85)микротик первый к компу в подсети 192,168,9,1  -  192,168,9,9 (белый 90,54,65,83)- рдп!

два микротика, два ната, за одним из микротиков РДП сервак спрятан!

нету схемы, что тут схемить?

надо Стучасть на белый айпи 90.54.65.83   попадать на Машинку которая за 90.54.65.85   для этого ТУНЕЛЬ!!! но не работает!

Уже лучше. значит провайдер выдает белый адрес 90,54,65,83 микротику, за микротиком серая сеть 192,168,9,9  в которой находится нужный RDP сервер. И к нему нужно получить доступ из интернета. Так?

так, отлько стучась на соседний роутер!!! с айпи 90.54.65.85

Это что-то невообразимое. Если нужная машина за 90.54.65.85, то надо стучаться именно  на 90.54.65.85, и на нем же пробрасывать порт до нужной машины. А тоннель тут нафиг не нужен.

хочу светить айпи толко ВПН сервера, что б не знали кто клиент!!! и какой у него честный айпи !!!

Поймите - у вас за NAT'ом не может быть белого адреса.

так мне и не надо! мне надо как то попасть с ВПН сервера, к ВПН клиенту! на рабочий стол! (что я не шарю, допинайте ногами!!!)

Понятно. Тогда забудьте вообще что есть такой адрес - 90.54.65.85 Ибо он тут не важен и никуда не стучит. Значит у вас есть белый адрес 90,54,65,83 выданный микротику, за этим микротиком серая сеть - какая адресация сети? И на этом же микротике поднят тоннель в сеть с нужным роутером. Какая адресация сети тоннеля?

Чтобы попасть с VPN сервера к VPN клиенту нужно просто прописать маршрут!! Но уж никак не порт пробрасывать! Ибо никаких NAT там не может быть!

ок забыл, про адрес 90.54.65.85,  есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.9.11  РЕМУТ АДРЕС 192.168.9.22

Если у вас там тоннель поднят между сетями ( тоннель это виртуальная частная сеть) Заметьте - частная, и там не может быть никаких белых адресов!!!

маршрут 192.168.9.11 pptp-out1 rachable 192.168.9.0/24 192.168.9.11 rachable

Уважаемый двайте про что то одно. Либо у вас есть тоннель и он работает - тогда никаких белых адресов вида 90.54.65.85 быть не может. Либо у вас нет тонннеля и доступ нужен по белым адресам. Так понятней?

С какого серого адреса нужно попасть на какой серый адрес. В общем скажите адреса клиента который будет подключаться к серверу, и адрес сервера. Именно локальный адрес, вида 192...

у мня есть тунель, и он работает не правильно ине надо с белого адреса попасть на серый за вторым микротиком

тут не получается что то одно - никак

любой клиент стучась на сервер по белому адресу 90.54.65.83  должен попадать на пк 192,168,9,9

как тут что-то одно????

Это невозможно. Это без проблем.

как без проблемм????

вы никак не хотите нарисовать схему сети. Что у вас за роутером с адресом 90.54.65.83 ? Какая там сеть?

90.54.65.83   192,168,8,0,/24

отлично. А теперь нужно узнать адресацию сети в тоннеле.

уже писал   есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.9.11  РЕМУТ АДРЕС 192.168.9.22

извеняюсь есть тунел на впн сервере 90.54.65.83  адреса впн  ЛОКАЛ АДРЕСС  192.168.8.11  РЕМУТ АДРЕС 192.168.8.22

Далее нужно добиться чтобы с любого адреса сети 192,168,8,0 пинговался  адрес 192.168.9.22 Пингуется?

да

Уже лучше. Теперь идем дальще. Какой локальный адрес у RDP сервера, на который нужно попасть?

192,168,9,9

Понятно. Теперь такой вопрос адрес 192,168,9,9 пингуется  с компьютера в сети 192,168,8,0?

в том то и беда что пингуется!

а из вне по белому зайти - не заходит!

Ну и прекрасно. Значит из сети 192,168,8,0 вы можете свободно заходить на RDP сервер. Осталось научить заходить туда из интернета. Делается просто. Идете в настройки NAT на микротике имеющем адрес 90.54.65.83 и пробрасываете порт на адрес 192,168,9,9 И все.

я и сделал dst-nat(проброс тот самы за который меня тут пинают)!!! не могу зайти из интернета!

Понятно. Если не работает нужно понять что именно не работает. 1)Проверьте удается ли зайти на  RDP сервер с компьютера находящегося в сети 192,168,8,0.

у меня там нет компов, ни одного :( всё проверяю прямо с роутера!!!

Это уже хуже. Ладно, сделаем так - на RDP сервер вообще с локальной сети зайти можно? Вы проверяли? может там файервол блокирует. В логах сервера при попытке подключения есть что?

Т.е у вас либо проброс порта не работает, либо сам сервер подключения не принимает. Он кстати на том же порту работает который вы пробрасывали?

dst-nat работает с белого айпи, о котором мы договорились забыть! так заходит - на прямую! порт другой в целях безопасности !!!

А теперь скажите то же самое, но понятным языком.

dst-nat работает с белого айпи 90.54.65.85   а с 90.54.65.83 - нет

тоесть сам рдп сервер поднят и отвечает, вин файерволл выключил от греха подальше!

Мыши плакали, колосолись... Узел 90.54.65.83 - dst-nat на какой адрес проброс делает?

*кололись

На адрес 192,168,9,9 насколько удалось выяснить. и он с этого узла пингуется.

192,168,9,9  на тот что за вторым микротиком

Ок, проверим еще один момент, обратный маршрут есть? С компьютера  192,168,9,9  пингуется адрес компьютера указанного шлюзом в сети 92,168,8,0 ?

Т.е. сеть1: 90.54.65.85 192,168,9,9/24 сеть2: 192,168,8,0,/24 90.54.65.83 все верно?

Собака или там, или в правила Microtik'ов. З.Ы.: Хождение в трех соснах на 70 постов...

да с 192,168,9,9  пингуеться роутер 192,168,8,1

потому и попросил помощи, может есть что я ещё не знаю... глю в прошивке или правила не работают или ещё что :(  ума уже не приложу

Так не было бы хождения, если бы автор не поленился нарисовать схему сети. А так попробуй пойми, что ему нужно. Приходится задавать десятки вопросов, чтобы понять что у него там вообще.

просто опустил подробности уложив их в : Один клиент один сервер, всё пингуеться, делаю проброс порта на втором микротике, указывая подсеть с первого! по идее должно видеть раз пингуеться.... но Удаленный рабочий стол, меня послал подальше ... Виноват исправлюсь

Правило можешь показать? Скрин из winbox или  командную строку.

Так вам это понятно, вы свою сеть знаете, а вот со стороны нифига не понятно.

+ В смысле правило которым проброс делал.

я тим вьювер готов дать - лишь бы не сойти с ума сегодня из за этих правил ... (убрано цензурой) :(

Да я о чем. У тебя правила на mictotik'ах одинаковые (т.е. за разностью сетей)?

chain dstnat Protocol  6 (tcp) dst-port  23835 Action dstnat to adress 192.168.9.9 to ports 3389

Интерфейсы не указывали?

да одинаковые!  нет не указывал!

список внутренних интерфейсов у вас какой там?

Конкретно на каком интерфейсе тоннель висит?

поднялся интерфейс pptp-of1 он в списке адресов есть! не знаю что добавить... :(

на другой стороне pptp-out интерфейс появился!

вот на этот интерфейс и нужно кидать.

в ИН или в АУТ интерфейс его надо указывать?

Т.е смотрите на каком интерфейсе у вас висит тоннель, и явно указываете этот интерфейс при пробросе. В аут разумеется.

матерится микротик, не могу мол изменить правило :(

Хм. Интересно. Удалите правило и создайте новое. Интерфейс точно указываете? Вы вообще в винбоксе работаете или с командной строки?

в винбоксе! интерфейс аут  указываю: pptp