Пренасочване на PPTP портове към вътрешен сървър

[dika]

Здравейте,

Ползвам Mirkotik hap ac а след него имам вързан на порт2 едно Raspberry Pi3 на което съм конфигурирал PPTP сървър. Опитвам се да пренасоча портовете 1723 и 47 към вътрешния адрес на распберито, но отвън нямам връзка с PPTP-то. Възможно ли е, защото на микротика имам активен L2TP Server? Как точно да пренасоча пптп да ходи към вътрешното распбери?

П.С. От вътрешната мрежа се връзвам с пптп-то, така че то работи. Ето и експорт от руловете:

add action=drop chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=accept chain=input comment="Accept PPTP connection to be forwarded" \
    disabled=yes dst-port=1723 in-interface=ether1 log=yes log-prefix=\
    pptp-passthrough protocol=tcp
add action=accept chain=input disabled=yes protocol=gre
add action=accept chain=forward dst-address=192.168.88.250 out-interface=ether1
add action=accept chain=forward dst-address=192.168.88.250 in-interface=ether1 \
    protocol=gre
add action=accept chain=forward dst-address=192.168.88.250 dst-port=1723 \
    protocol=tcp
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input dst-port=500 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
    ether1
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    ether1
add action=dst-nat chain=dstnat in-interface=ether1 port=1723 protocol=tcp \
    to-addresses=192.168.88.250 to-ports=1723
add action=dst-nat chain=dstnat dst-port=1723 in-interface=ether1 port="" \
    protocol=tcp src-port="" to-addresses=192.168.88.250 to-ports=1723
add action=dst-nat chain=dstnat dst-port=47 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.88.250 to-ports=47
add action=dst-nat chain=dstnat dst-port=1723 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.88.250

 

[Самуил Арсов]

Като за начало 1723 е tcp порт, 47 е gre протокол, хубаво е все пак да не ги бъркаме нещата. Иначе на въпроса ти:

1. Създал си с ACCEPT в правилата INPUT порт 1723 и GRE протокол което всъщност са правила за самия рутер (микротика) ако той има pptp сървър, то - той ще работи.

2. Във веригата FORWARD си създал същите правила с ACCEPT но от това няма никакъв смисъл защото pptp клиента който е с публичен IP адрес няма как да достъпи от Интернет вътрешния ти, например 192.168.1.2 който е "Разберито" защото тези адреси не се рутират в Интернет по простата причина, че всички ги ползваме.

3. Опитал си се да направиш така наречения дестинеишън нат, DST-NAT като си пренасочил порт 1723 и порт 47, но тук проблема е, че става въпрос за протокол 47 (gre) а не за порт 47. Тоест това също няма да работи защото GRE протокола се подържа само от SRC-NAT, сиреч само ако клиента е зад NAT а не когато има публичен IP адрес и иска да достъпи вътрешен адрес от Интернет.

Предполагам, че сам се досещаш, че това което искаш да направиш е невъзможно защото "Разберито" може да стане клиент през NAT-а на Микротика и да вдигне pptp със сървър с публичен IP адрес например в Америка, но то да стане сървър и някой клиент да се върже от Америка е невъзможно. Затова ще ти задам съвсем сериозно въпроса: - Защо Микротика да не е VPN сървър a "Разберито" ? Не схващам смисъла ! Нали това е идеята на тези VPN сървъри, да достъпиш вътрешна мрежа от Бордер (граничен) рутер.

[JohnTRIVOLTA]

По точките 1 и 2 се обясняват нещата с факта , че dst-nat  е част от прерутинг веригата , която е първа в пакет флоу т.е. е преди веригата input или forward та правилата за accept стават просто не нужни !

Пробвай от IP - Firewall - Service-ports - ppp да му дадеш disable и пробвай дали ще се получават нещата !

[WeAreFinite]

Ако смятате, че мнението ми не е за тази тема търкайте, ама аз ви съветвам да избягвате PPTP, протокола е компрометиран от бая време, като за начинаещ бих ти препоръчал ето това: http://www.pivpn.io/
С него можеш доста лесно да си подкараш OpenVPN като процеса по издаването на сертификати и конфигурационен файл е автоматизиран и ти отнема буквално 3 минути да подкараш всичко.
Ще трябва само да си пренасочиш порт 1194 от микротика към распберито, да знаеш че поддържа и UDP :P

[dika]

Благодаря за отговорите, много полезно!

WeAreFinite, знам за това, но ми трябва нещо което да е симпъл от към клиентска гледна точка. ОпънВПН изисква допълнителен софтуер, което затруднява нещата

[WeAreFinite]

Окей, SSTP устройва ли те?
Супер семпло е от към клиентска гледна точка, цъкаш два бутона и си свързан.

[dika]

Благодаря ви. В крайна сметка заложих на ipsec и всичко е наред Добавих един masquerade на входа и нещата се оправиха. 10х за съветите