Port-forwarding za VPN

womec

Ahoj, potřeboval bych poradit s port-forwardingem skrze VPN (L2TP/IPsec)

mezi dvěma místy, z čehož jedno má veřejnou IP, mám VPN tunel (Client-Server) a z internetu potřebuju přistupovat na zařízení, které je za NATem a za VPN. Komunikace skončí na klientském RB ve stavu syn-sent ... ale zpátky už se nic nevrací.

ze sitě do sítě funguje komunikace v pořádku, pouze je problém s komunikací z internetu přes NAT za VPN.

situace ja následující

Veřejná IP -> RB450G - 192.168.88.0/24 << 10.0.16.9 - VPN - 10.0.16.10>> RB450G - 192.168.99.0/24 -> NAS

konfigurace:

chain=dstnat protocol=tcp dst-address=94.199.xxx.xxx dst-port=5001 action=dst-nat to-addresses=192.168.99.10 to-ports=5000

majklik

Prootže se ti provoz nevrací tunelem zpět k prvnímu RB s veřejkou, ale to druhé to pošle přímo ven přes svoji default bránu do Internetu.

To RB s 10.0.16.10 je předpoládám klient, tak na něm (předpokládám, že L2TP interfae se jmenuje l2tp-out1):

/ip route

add gateway=l2tp-out1 routing-mark=to_tunel

add distance=250 type=unreachable routing-mark=to_tunel

/ip route rule

add dst-address=10.0.0.0/8 table=main

add dst-address=192.168.0.0/16 table=main

/ip firewall mangle

add action=mark-routing chain=prerouting connection-mark=from_tunel in-interface=!l2tp-out1 new-routing-mark=to_tunel

add action=mark-connection chain=prerouting connection-state=new in-interface=l2tp-out1 new-connection-mark=from_tunel

Mělo by to dělat, že spojneí došlá skrz tunel bude natvrdo vrcet zpět do tunelu.

womec

Super, díky za tip. Ozkouším ;)