Full forward from/to IP over VPN/tunnel

[Chicho Mancho]

Привет,

 

Имам следният казус, който явно е над възможностите(знанията) ми - имам 2 embedded device-a които ползват специфичен порт за комуникация със света.

Тъй като имам само едно реално IP ми дойде мъдрата идея да се опитам да изпозвам IP/port от отдалечна локация където имам пълен контрол над мрежата.

На двете места ползвам Mikrotik рутери и имам вдигнат IP tunnel (ако е нужен).

За да е по сложно, до устройствата стига само 1 кабел (после обикновен суич), така че Miktorik-а ги вижда през един интерфейс - не може да се вкара целия интерфейс в bridge например.

Предварително благодаря, дори за времето прекарано в четене :)

[Chicho Mancho]

18 minutes ago, JohnTRIVOLTA said:

Това е безмислено, когато може да е само EoIP с адресите на IPIP които ползва?!

Съгласен съм, просто си имам IP tunnel по принцип м/у локациите и в момента просто си "играя" с цел да си реша проблема.

2 hours ago, 111111 said:

Или нещо премълчаваш или въобще не прилагаш правилно решението.
При това решение вътре в мрежата устройствата си работят с непроменени параметри.

Мисля, че описах всички всички стъпки, но на Kali-то
curl ifconfig.me
показва отдалеченото IP

дашборда на хардуерното устройство също рапортува отдалеченото IP

както и телнет отвън на порт-а който съм пренасочил към Kali-то показва nginx-a там, гледах access.log и вижда истинското IP на клиента, а не някое вътрешно.

За съжаление все още има нещо което спира утройството да работи както трябва, но продължавам да ровя

[JohnTRIVOLTA]

Преди 19 часа, Chicho Mancho написа:

Съгласен съм, просто си имам IP tunnel по принцип м/у локациите и в момента просто си "играя" с цел да си реша проблема.

Тогава си рутирайте клиента/устройството/ през тунела до отдалечената локация , като използвате нужният SNAT и DNAT за достъп до него на публичен адрес!?

На основния рутер се добавя рут таблица и в нея се добавя ласт рисорт рут с римот IP адреса на тунела за гейт. Добавя се рут правило за заявки със сорс IP адреса на устроството ви да ползва нея таблица. Добавя се правило за SNAT за този IP адрес на устройството да се натва с IP адреса на тунела.

На отдалеченият рутер се добавя SNAT правило да излизат с публичен IP адрес за заявките с този с IP адрес на тунела , ако няма глобално SNAT правило за това. Добавяте си нужното/е/ DNAT правило/а/ на публичен адрес заявките да се натват към него пак IP адрес на тунела - това е за достъп до устройството от публична страна.

На основния рутер също се добавя DNAT правило със сорс IP адрес на тунела и дестинация локалният IP адрес на устройството.

Редактирано 2 Април, 2022 от JohnTRIVOLTA

[Chicho Mancho]

On 4/2/2022 at 2:18 PM, JohnTRIVOLTA said:

Тогава си рутирайте клиента/устройството/ през тунела до отдалечената локация , като използвате нужният SNAT и DNAT за достъп до него на публичен адрес!?

На основния рутер се добавя рут таблица и в нея се добавя ласт рисорт рут с римот IP адреса на тунела за гейт. Добавя се рут правило за заявки със сорс IP адреса на устроството ви да ползва нея таблица. Добавя се правило за SNAT за този IP адрес на устройството да се натва с IP адреса на тунела.

На отдалеченият рутер се добавя SNAT правило да излизат с публичен IP адрес за заявките с този с IP адрес на тунела , ако няма глобално SNAT правило за това. Добавяте си нужното/е/ DNAT правило/а/ на публичен адрес заявките да се натват към него пак IP адрес на тунела - това е за достъп до устройството от публична страна.

На основния рутер също се добавя DNAT правило със сорс IP адрес на тунела и дестинация локалният IP адрес на устройството.

Това е извън умствените ми възможности

Шанс да го преведеш в команди ?

 

Предварително благодаря.

[JohnTRIVOLTA]

Преди 21 часа, Chicho Mancho написа:

Това е извън умствените ми възможности

Шанс да го преведеш в команди ?

 

Предварително благодаря.

Ако компютъра който трябва да излиза през отдалечената локация през тунела е с адрес пример 192.168.0.100 ,а адресите на тунела при вас са 172.16.0.1, а този на другата локация е съответно 172.16.0.2 то трябва във вашият рутер да добавите следните правила:

/ip route add gateway=172.16.0.2 routing-mark=VPN
/ip fi nat add chain=srcnat src-address=192.168.0.100 action=src-nat to-addresses=172.16.0.1 out-interface=ppp_conn place-before=0
/ip route rule add src-address=192.168.0.100 action=lookup table=VPN 

Ако нямате в римоут рутера глобално правило за SNAT, трябва пък там да добавите такова за заявките от тунела:

/ip fi nat add chain=srcnat src-address=172.16.0.1 action=masquerade out-interface=WAN

WAN е интерфейса , който ви е конфигуриран за такъв на отдалеченото място!

--------------------------------------------------------------------------------------

Достъп до този компютър или услуги пуснати на него от публичен адрес на отдалеченото място става с DNAT/dstnat правило на двете места/двата рутера с включен порт/портове за нужните услуги и ползван протокол, пример за http:

На отдалеченият рутер:

/ip fi nat add chain=dstnat dst-address="public.ip.address" in-interface=WAN protocol=tcp dst-port=80 action=dst-nat to-addresses=172.16.0.1

На вашият рутер в мрежата на компютъра добавяте съответно:

/ip fi nat add chain=dstnat dst-address=172.16.0.1 protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.100

И така подобно за други услуги. Успех!

Редактирано 21 Април, 2022 от JohnTRIVOLTA