Достъп отвън до мрежата на втори рутер в L2TP/IPSEC тунел

[musketeer]

Здравейте,

някак не ми прилича да е в "за начинаещи", но това не е важно

Въпрос за решаване: две локации, едната с постоянно реално IP, другата с LTE рутер от БТК.

Естествено, на втората има необходимите неща за достъпване: камери, касов софтуер и други. Облачната услуга за камерите не работи, т.е. няма алтернатива. Сходен е проблема и с другите необходимости.

Опита за решаване (реализиран дотук) е два RB750Gr3, с вдигнат L2TP/IPSEC тунел, работещ успешно, рутиран и с нормален достъп от едната страна и от другата. Т.е. частично решен въпрос.

Но как би могло да стане да се стига до камерите отвън без да се влиза в L2TP? Нещата изглеждаха лесни с port forwarding, но, излезе, че не работи.

Не знам дали ще предизвикам интереса ви и съответно някакви отговори, затова няма да правя опит да описвам по-подробно структурата или пък да давам логове.

Разбира се, готов съм да го направя при необходимост.

Някой знае ли решение, което пропускам, въпреки гугълските усилия...?

[JohnTRIVOLTA]

В първия рутер си с глобален сорс нат , ако не, то добави адреса на сървъра 78.100 и той да се натва. Естествено замествай с правилните ip адреси. Динамични те пътища не съм ги описвал в рутинг таблиците, понеже няма смисъл да драскам допълнително!

Редактирано 19 Януари, 2023 от JohnTRIVOLTA

[111111]

Рутирай интернета или нужните услуги на клиентите през тунела.

[musketeer]

в LAN на който и да е от двата имам достъп във всички посоки, проблема е като се обърна към външното IP, което би трябвало да пренасочи към IP (което се пингва и трейсрутва от първия рутер - с реалното IP), че не отива.

В лога записва:

dstnat: in:ether1 out:(unknown 0), src-mac e8:d0:b9:50:19:e0, proto TCP (SYN), 21X.7X.1XX.119:34970->192.168.1.4:58291, len 60

и нищо не се случва.

Ако се закача към същият рутер с тунел - всичко е наред. Но просто с обръщение към него - не иска.

Не можах да накарам БТК да го бриджнат този порт, затова е с DMZ. Не мисля, че е проблем, защото заявката идва до мен, но не знам какво да мисля вече. Това 192.168.1.4 е DMZ порта

[JohnTRIVOLTA]

Заявка от публиен адрес ти идва до устройството през тунела , но връща през локалният интерфейс към публична страна, защо имаш път да излезе само от там т.е. не се връща през тунела!

За целта може да си добавиш нова рутинг таблица в него рутер в която да добавиш ластрисорт път през римот адреса на тунела и да добавиш рутинг правило този адрес/частния адрес на устройството с услугата/  да гледа нея таблица!

Редактирано 18 Януари, 2023 от JohnTRIVOLTA

[musketeer]

да, то ми се губи нещо, явно е това, сега само да се науча как се прави казаното от теб и съм пушка

имаш ли удачен пример? "сламка" му викам аз

 

[JohnTRIVOLTA]

С коя версия на ROS си ?

[musketeer]

6.49.7, слаба е кутийката за 7

[111111]

Just now, musketeer написа:

6.49.7, слаба е кутийката за 7

това две лелички на пазара ли си го говореха?

[musketeer]

преди 3 минути, 111111 написа:

това две лелички на пазара ли си го говореха?

да, и им хванах вяра

[JohnTRIVOLTA]

преди 10 минути, musketeer написа:

6.49.7, слаба е кутийката за 7

ip route add gateway=10.20.30.1 routing-mark=tunn
ip route rule add src-address=192.168.11.111 action=lookup table=tunn

Сменяш адреса 10.20.30.1 с адреса на тунела при основният рутер, а 192.168.11.111 с адреса на клиента с услугата

Редактирано 18 Януари, 2023 от JohnTRIVOLTA

[musketeer]

Пробвам при първа възможност и давам отчет, благодаря!

[musketeer]

Няма успех, ама то е логично, като маймунка написах, каквото ми каза.

ip route add gateway=172.16.10.1 routing-mark=tunn
ip route rule add src-address=192.168.78.1 action=lookup table=tunn

{real_IP MT 1} 172.16.10.1 l2tp_interface, realIP, lan:192.168.77.0, като тук уговорката е, че реалното айпи го няма, а е в DMZ.

{remote MT 2} 172.16.11.1 l2tp_intreface,    ......, lan:192.168.78.0

 

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          172.16.11.1               1  routingmark:tunn (с гейт 172.16.10.1 го дава unreacheble)
 1 A S  0.0.0.0/0                          192.168.1.1               1
 2 ADC  172.16.11.1/32     172.16.10.1     <l2tp-zb>           0
 3 ADC  192.168.1.0/24     192.168.1.4     eth1-Internet             0
 4 ADC  192.168.77.0/24    192.168.77.1    bridge                    0
 5 X S  192.168.77.0/24                    <l2tp-zb>           1
 6 A S  192.168.78.0/24                    172.16.11.1               1
   
 [m@SServer] > ip route rule print 
Flags: X - disabled, I - inactive 
 0   src-address=192.168.78.1/32 action=lookup table=tunn 

  продължава да връща 
   dstnat: in:eth1-Internet out:(unknown 0), src-mac e8:d0:b9:50:19:e0, proto TCP (SYN), 8Х.2ХХ.1ХХ.1ХХ:44645->192.168.1.4:58291, len 52

 

Освен да помоля да дадете правилната тематика, която трябва да проуча, защото продължавам да не разбирам как докато ги пингвам, не става рутиране. Ясно ми е, че е точно това, което каза, че не знае къде и отива на OUT-а, който знае, т.е. DMZ 192.168.1.4

 

 

[JohnTRIVOLTA]

ip route rule add src-address=192.168.78.1 action=lookup table=tunn

Тука слагаш адреса на сървъра с услугата , а не локалният адрес на рутера

[musketeer]

ами в случая е и услуга, да стигна по SSH до втория МТ

[JohnTRIVOLTA]

преди 15 минути, musketeer написа:

ами в случая е и услуга, да стигна по SSH до втория МТ

Тя и без тези правила рутера си го достъпваш на 172.16.11.1

 

преди 15 минути, musketeer написа:

ами в случая е и услуга, да стигна по SSH до втория МТ

И правилата се слагат в отдалечения рутер с локална мрежа 192.168.78.0

 

Редактирано 19 Януари, 2023 от JohnTRIVOLTA