Доброго времени суток! Дано: RouterBOARD 750G r2. На нём поднят l2tp/ipsec сервер(клиенты получают адреса вида 192.168.67.xxx). Имеет белый ip от провайдера 176.ххх.ххх.ххх К роутеру по vpn подключается удалённый сервер. На сервере есть rdp и web сервер. Задача: При обращении на белый ip роутера по определенному порту перенаправлять трафик через vpn на удалённый сервер. Для этого на роутере прописал след правила: Код: chain=dstnat action=dst-nat to-addresses=192.168.67.4 to-ports=443 protocol=tcp dst-address=176.xxx.xxx.xxx in-interface=ether1-gateway dst-port=443 log=no log-prefix="" chain=dstnat action=dst-nat to-addresses=192.168.67.4 to-ports=24025 protocol=tcp dst-address=176.xxx.xxx.xxx in-interface=ether1-gateway dst-port=24025 log=no log-prefix="" chain=dstnat action=dst-nat to-addresses=192.168.67.4 to-ports=80 protocol=tcp dst-address=176.xxx.xxx.xxx in-interface=ether1-gateway dst-port=80 log=no log-prefix="" где 192.168.67.4 - ip адрес удаленного сервера в впн. Проблема в том, что при таких правилах подключение по RDP работает нормально. А вот доступ к ресурсам веб сервера отсутствует. Если обращаться по локальному ip https://192.168.67.4, то всё нормально открывается.
А у удаленного сервера что является гейтвеем? Иными словами, не получается ли так, что сервер отвечает не туда, куда вы ожидаете?
Если посмотреть свойства подключения на удаленном сервере (под windows), то поле gateway пустое. И так же стоит галочка "использовать по умолчанию шлюз удаленной сети". Наверное проблема в этом. Тогда вопрос в том как настроить DHCP в микротике, чтобы при подключении клиента он выдавал ему не только ip но и gateway. p.s. gateway должен быть адресом микротика в впн? Дополнение. Если на удаленном сервере не правильный gateway, то почему тогда из локальной сети роутера web ресурсы сервера доступны(по ip удаленного сервера в vpn)? Дополнение 2 В принципе вопрос более не актуален, т.к. почему-то все заработало. Печалит, что не понятно почему не работало( Дополнение 3 Разобрался что к чему. Проблема была с https://wiki.mikrotik.com/wiki/Hairpin_NAT Так же нашёл вашу тему на форуме. Но к сожалению предложенное решение у меня не заработало. Можете подсказать почему? Спойлер: Вывод /ip firewall nat export Код: add action=masquerade chain=srcnat out-interface=ether1-gateway add action=dst-nat chain=dstnat dst-address=176.ххх.ххх.ххх dst-port=443 \ in-interface=ether1-gateway protocol=tcp to-addresses=192.168.67.4 \ to-ports=443 add action=dst-nat chain=dstnat dst-address=176.ххх.ххх.ххх dst-port=80 \ in-interface=ether1-gateway protocol=tcp to-addresses=192.168.67.4 \ to-ports=80 add action=masquerade chain=srcnat dst-address=192.168.67.4 dst-port=443 \ out-interface=bridge-local protocol=tcp src-address=192.168.64.0/24 add action=masquerade chain=srcnat dst-address=192.168.67.4 dst-port=80 \ out-interface=bridge-local protocol=tcp src-address=192.168.64.0/24
Добрый день. Не вижу ошибок в конфигурации. Но может что-то упускаю. Нарисуйте, если не сложно схему.
Уже разобрался. Убрал в правилах Код: out-interface=bridge-local и все заработало. Спасибо за помощь!