Как настроить nat до сервера в ovpn
-
Есть соединение ovpn между двумя точками А и Б.
В точке А есть белый IP, в точке Б серый.
В точке Б находится веб сервер. Как получить к нему доступ через точку А? Какие правила nat надо настроить на роутере в точке А.
П.С. Перенос сервера физически не возможен. На точке Б интернет не могут починить 2-ю неделю (Ростелеком), соединение временно через 4G. -
@toxansk
ЗдрЕсли я все верно понял и в точке Б тоже используется PF ( картинки буду вставлять из настроек IPTables Linux - смысл тот же )
То
1 делаем правила проброса пакета , пришедшего на WAN интерфейс в сторону внутреннего ip адреса сервера в точке Б-A PREROUTING -d ip_адрес_wan -p tcp --destination-port 443 -j DNAT --to-destination ip_адрес_сервера_в_точке_Б
2 чтобы ip пакет вернулся нормально назад , надо использовать исходящий NAT на Openvpn интерфейсе для пакетов , идущих в адрес сервера в точке Б
-A POSTROUTING -o OPENVPN_интерфейс -p tcp --destination-port 443 -d ip_адрес_сервера_в_точке_Б -j SNAT --to-source ip_адрес_openvpn_интерфейса_точка_А
все это работает , при условии что из точки А можно "достучаться" до сервера в точке Б
-
@konstanti Приветствую.
В точке А PF в точке Б Mikrotik.
А и Б доступны между собой. Роутер А пингует сервер Б, сервер пингует роутер А.Оба правила для точки А?
-
@toxansk
все это применимо для точки А -
Что то напутал
16:22:19.171964 IP 37.193...32102 > 172.16.4.252.8***: tcp 0
prerouting ->firewall nat у PF ?
postrouting -> firewall rules у PF ? -
@toxansk
это где снят дамп трафика ? на каком интерфейсе ?
если все сделали верно, то
на Openvpn интерфейсе должны увидеть, к примеру10.10.100.2.38995 > 192.168.1.230.smtp: Flags [S], seq 1511643400, win 65535, options [mss 1360,sackOK,TS val 2298846376 ecr 0,nop,wscale 8], length 0 168.1.230.smtp > 10.10.100.2.38995: Flags [S.], seq 3156695426, ack 1511643401, win 14480, options [mss 1346,sackOK,TS val 2978364165 ecr 2298846376,nop,wscale 7], length 0
-
@toxansk
это на ovpn -
@toxansk
1 Port forwarding (NAT)
2 Nat Outbound ( NAT) -
@toxansk
Это значит , что пункт 2 не настроен ( нужен ли он в связке PF-Microtik не знаю , я Вам описал рабочую схему для работы PF-PF через туннель ) -
Добрый
@toxanskВ точке А на пф МЕНЯЕТЕ адрес вебки на 10443, напр. Это ОБЯЗАТЕЛЬНО.
Там же делаете проброс с ВАНа , TCP 80 и 443 на локальный адрес веб-сервера в сети Б
После на пф переключаете НАТ в Гибрид и добавляете правилА, что все что идет на адрес веб-сервера в сети Б натится на адрес его адрес и порты 80 и 443. Т.е. будет ДВА правила - для 80 и 443 портов.В последнем пункте не уверен в правильности. Надо пробовать.