Достъп отвън до мрежата на втори рутер в L2TP/IPSEC тунел

[musketeer]

Здравейте,

някак не ми прилича да е в "за начинаещи", но това не е важно

Въпрос за решаване: две локации, едната с постоянно реално IP, другата с LTE рутер от БТК.

Естествено, на втората има необходимите неща за достъпване: камери, касов софтуер и други. Облачната услуга за камерите не работи, т.е. няма алтернатива. Сходен е проблема и с другите необходимости.

Опита за решаване (реализиран дотук) е два RB750Gr3, с вдигнат L2TP/IPSEC тунел, работещ успешно, рутиран и с нормален достъп от едната страна и от другата. Т.е. частично решен въпрос.

Но как би могло да стане да се стига до камерите отвън без да се влиза в L2TP? Нещата изглеждаха лесни с port forwarding, но, излезе, че не работи.

Не знам дали ще предизвикам интереса ви и съответно някакви отговори, затова няма да правя опит да описвам по-подробно структурата или пък да давам логове.

Разбира се, готов съм да го направя при необходимост.

Някой знае ли решение, което пропускам, въпреки гугълските усилия...?

[musketeer]

преди 1 минута, JohnTRIVOLTA написа:

Тя и без тези правила рутера си го достъпваш на 172.16.11.1

Не съм член на VPN-a, правя NAT forward, това е основната цел, да стигам до отдалечения отвън, без VPN.

преди 3 минути, JohnTRIVOLTA написа:

И правилата се слагат в отдалечения рутер

То не стига forwarda до него, спира се в първия

[JohnTRIVOLTA]

Just now, musketeer написа:

Не съм член на VPN-a, правя NAT forward, това е основната цел, да стигам до отдалечения отвън, без VPN.

Не мога да те разбера какво точно искаш? Нали имаш услуга/сървър/ в римоут страната и искаш от основният рутер да достигнеш посредством изграденият тунел и dstnat до услугата там. Направил си всичко , но не връща, защото трябва този път и правило да се сетнат там/на отдалечения рутер/ за да знае сървъра с услугат да върне през тунела до основния рутер. Това е защото сег заявката от публична страна идва от основния рутер, а търси във FIB да излезе през отдалечения, понеже не вижда път за обратно да се върне! Ще ти направа една схемка на ръка и ще я постна след малко!

[musketeer]

Точно това искам, но цитата е от лога на основния рутер - той не закарва заявката до отдалечения, а я хвърля към DMZ, т.е. към собствения си WAN вместо към отдалечения в тунела. Всички логове и настройки, които съм дал са от основния, защото даже нямам достъп до отдалечения в момента

Разбира се, в случай на нужда ще го достъпя.

[musketeer]

Честно казано, *много* искам да почерпя

Много благодаря, а за черпнята няма шега, скоро ще трябва да съм в София и с удоволствие бих!

 

П.П. Тръгна като пушка, ако не бях и в сейв мод, щеше да стане от раз, така поне си повторих движенията

П.П.2 това заблуждаващо съобщение си остана в лога, въпреки успешната връзка "dstnat: in:eth1-Internet out:(unknown 0), src-mac e8:d0:b9:50:19:e0, proto TCP (SYN)"

Редактирано 19 Януари, 2023 от musketeer
странното в лога

[JohnTRIVOLTA]

Преди 3 часа, musketeer написа:

Честно казано, *много* искам да почерпя

Много благодаря, а за черпнята няма шега, скоро ще трябва да съм в София и с удоволствие бих!

 

П.П. Тръгна като пушка, ако не бях и в сейв мод, щеше да стане от раз, така поне си повторих движенията

П.П.2 това заблуждаващо съобщение си остана в лога, въпреки успешната връзка "dstnat: in:eth1-Internet out:(unknown 0), src-mac e8:d0:b9:50:19:e0, proto TCP (SYN)"

Радвам се , че са се получили нещата, инак здраве да има