BigElectricCat
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dsm150
Цитата:| Как не понадобится NAT? Каким же это макаром микротик должен понять, на какой ИП пересылать запросы по определенному порту? |
При правильно настроенной адресации/маршрутизации. У меня же понимает, что и куда надо пересылать  Хотя сеток которые роутятся микротиками хватает. (Вот только ещё керио не хватало , впрочем «зоопарка» и без него хватает.)
Срц-НАТ использую только для сокрытия тех машин, которые не имеют «белые» адреса, иногда правда нужно маскировать обращения к ресурсам в случае, когда GW по умолчанию у нужного ресурса отличный от адреса микротика, а микротик находится в той же сети (к примеру, у ресурса адрес 192.168.20.1/24 его GW 192.168.20.100, а у микротика адрес 192.168.20.15, вот тут и нужно маскирование, т.е. к ресурсу обращения идут от адреса микротика, соответственно ресурс отвечает микротику, а тот уж пересылает вопрошающему).
Дст-нат пригодится для создания затычек, типа подмены удалённого сервера своим (если нет возможности ДНС подрихтовать), ну и для скрытого перенаправления запросов в веб через кеширующий прокси (чтобы анализировать посещённые сайты, например).
Цитата:
Хм… этому вообще https нужен, да и всё. По крайней мере у нас на Украине.
Цитата:| Может я изначально ввел в заблуждение |
Смотри:
Твои кленты подключились по пптп микротику, следовательно они уже выпали из своей сети и находятся в сети которая создаётся микротиком, конечно при условии, что у клиентов автоматически создаётся шлюз по умолчанию для впн соединения, галку то, можно и снять.
Вот теперь микротик готов пересылать запросы клиентов на любые адреса, которые у него прописаны в роутах «/ip route», варианты роутингом («/routing») пока можно исключить.
Если тебе нужно обратится к портам ресурса который получил адрес в пптп сети микротика 173.19.0.100 то нет нужды создавать правила НАТа, достаточно просто указать нужный адрес:порт в клиенте (из твоего примера в РДП-клиенте — 173.19.0.100:7889 или 173.19.0.100:7575).
Так же, теперь клиенты могут присоединится к впн керио, просто указав адрес керио в другом впн-соединении. Но это будет уже другая сеть, созданная внутри сети микротика и адресация в ней уже своя (принцип матрёшки). Пожалуй тебе стоит поглядеть, что тебе напишет route print на клиенте, когда он подключён к микротику, а потом сравнить с тем, что он напишет, когда ты подключишься к впн керио.
PS: Не понимаю особого смысла, если честно, в создании вложенных впн. Избыток шифрования ещё не значит, что криптостойкость соединения выше.
Всё можно сделать одним микротиком (сертификаты он тоже поддерживает) и лучше уж через IP Sec, а не ВПН. |
