Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проброс портов в локалку через дополнительный шлюз.

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Engraf



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, уважаемые!
 
Схема такая: есть основной офис, и есть логистический центр, в котором находится серверная. Между офисом и ЛЦ поднят GRE туннель на цисках. В качестве резервного инета в ЛЦ решили использовать модем yota воткнутый в микротик (других провайдеров нет). Микротик включен в локальную сеть. Настроил проброс портов для подключения через RDP к терминальным серверам, чтобы при падении основного канала, некоторым пользователям из офиса был предоставлен доступ к сервисам.  
Собственно, проблема: видно, что микротик пропускает , однако подключения нет. Причина выяснилась: у RDP-клиента IP адрес подключения = IP адресу локального хоста, с которого подключается. Соответственно, RDP-сервер направляет пакеты на этот IP через основной шлюз (в туннель), а не через микротик. Каким образом локальный IP компа в офисе проходит через NAT микротика не могу понять. Понятно, что дело в туннеле (с телефона, например, нормально подключается), но почему так и как исправить не догоняю.
 
Помогите разобраться, или может предложите принципиально иной способ организовать сабж.
Спасибо.

Всего записей: 67 | Зарегистр. 07-08-2007 | Отправлено: 12:41 27-09-2017 | Исправлено: Engraf, 13:28 27-09-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Engraf
Цитата:
модем yota воткнутый в микротик
Есть же тема по микротик, чем не устроила?
Все у тебя работает правильно, винде пофиг, откуда пришел пакет,
ответ она отправит на дефолт шлюз. Поэтому тебе нужно, чтобы микротик
работал не как НАТ, а типа прокси. То есть подменял адрес клиента своим.
Как это сделать, и можно ли, интересуйся в теме микротика.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16313 | Зарегистр. 13-06-2007 | Отправлено: 18:28 27-09-2017
MAGNet



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Engraf, у вас на GRE поднят туннель, который "держит" общую локалку между центром и ЛЦ и вы пытаетесь "пробросить" порты из своей локалки через интернет в свою локалку?
Я вас правильно понял?
 
Добавлено:
Микротики нужно включать ДО сисек, чтоб они сами "разруливали" интернет-маршруты. Отвалился основной - включился резервный. Для сисек они должны быть "прозрачными", сиске вообще должно быть до фонаря, через где у неё пойдет GRE.
я так думаю. чисто теория, на практике такие городушки не строил

Всего записей: 1526 | Зарегистр. 31-03-2004 | Отправлено: 18:42 27-09-2017
vertex4



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Engraf
yota-модем поставить в циску.  Микротик прислать мне.
На циске настроить два туннеля, маршрутизация - динамика (ospf/eigrp), с разными метриками, чтоб переключалось на резерв само

Всего записей: 9829 | Зарегистр. 29-01-2006 | Отправлено: 19:25 27-09-2017
MAGNet



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vertex4, пришел Ржевский и всё опошлил..

Всего записей: 1526 | Зарегистр. 31-03-2004 | Отправлено: 19:57 27-09-2017
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vertex4
Цитата:
yota-модем поставить в циску.
ЕМНИП, циска не сделала поддержку ёты, и даже не собирается.
Мотивируя тем, что не желает ненадежными узлами херить репутацию своих систем.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 16313 | Зарегистр. 13-06-2007 | Отправлено: 20:17 27-09-2017
Paromshick



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я конечно туп, но
 
Когда внешний адрес пробрасывается не через шлюз по умолчанию, а через другой хост, то сессия установиться не может. Компьютер подключения ответит на запрос не из своей подсети через свой шлюз по умолчанию. И бракосочетание коннекшн не состоится. Никакой
 
Надо этот внешний адрес маскировать, чтобы хост подключения "думал", что запрос приходит из своей подсети. И не ломился со своим ответом на дефолтный гейтвей. Так никакую сессию не установить
Таким образом, это "обратный NAT", маскирование не внутреннего, а внешнего адреса.
Есть шикарное слово, не гомосексуализм, нет, его не знала Фима СОбак, но знают некоторые админы. Маскарадинг, ага. А то, чем вы пытаетесь заниматься весьма похоже на то слово, которое таки знала Фима Собак
Либо, если подсеть, с которой идёт запрос, заранее известна, то прописать маршрут в неё.
 
А ваших слов более высокого уровня, знать для понимания вышенаписанного - не обязательно.

----------
Материя - есть устойчивое состояние энергии.

Всего записей: 1408 | Зарегистр. 12-04-2013 | Отправлено: 20:43 27-09-2017 | Исправлено: Paromshick, 20:43 27-09-2017
MAGNet



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
..читаю вот и размышляю о вечном..
и вспоминается мне недавняя беседа, а если быть точным, то маленькое одностишие из неё, и я его сейчас вам напомню.
ведь мы же тут все "китайские комсомольцы" и мы не ищем лёгких путей!
- А можно сделать так
- Yes, but trough the ass

Всего записей: 1526 | Зарегистр. 31-03-2004 | Отправлено: 21:25 27-09-2017
vertex4



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vlary
эх, обломал меня с халявным микротиком...
По идее, ещё и с йоты будет серый IP, возможно придется использовать какой-нить клиент-серверный VPN, и чтобы обойти ограничения - какой-нить заковыристый(не знаю, что режут в йоте), на микротике это проще.  
MAGNet

Цитата:
предложите принципиально иной способ организовать сабж.

сложнее, но на мой взгляд - правильнее.
Paromshick
асинхронная маршрутизация?

----------
R.I.P., batva

Всего записей: 9829 | Зарегистр. 29-01-2006 | Отправлено: 22:45 27-09-2017
Paromshick



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vertex4

Цитата:
асинхронная маршрутизация?

Да кто их разберет. Маскарадинг Reverse NAT, Source NAT... Может и маршрутизация, не знаю. Знание одного принципа, освобождает от запоминания многих правил. Товарищ Конфуций, если я не ошибаюсь.
После того, как я узнал, что DDNS это не Dynamic DNS, a Diamond DNS и это "true forever", и навсегда я должен думать именно так, то я ввел в мировоззренческую модель новый уровень. Vendor Terminology Level. Пользуюсь редко. Можно сказать, что уровень не используется.

----------
Материя - есть устойчивое состояние энергии.

Всего записей: 1408 | Зарегистр. 12-04-2013 | Отправлено: 06:46 28-09-2017 | Исправлено: Paromshick, 06:46 28-09-2017
Engraf



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Цитата:
Есть же тема по микротик, чем не устроила?
Я посчитал, что микротик здесь не главное. Раньше, например, это был не микротик, а Zyxel, но в нем йота постоянно отваливалась. Нужен принцип, а не конфигурация конкретной железки.
Цитата:
Поэтому тебе нужно, чтобы микротик
работал не как НАТ, а типа прокси.
Вот такой, например Буду пробовать.
Цитата:
Все у тебя работает правильно, винде пофиг, откуда пришел пакет, ответ она отправит на дефолт шлюз.
Вроде бы очевидно, но че-то я этот момент упустил...
 
MAGNet
Цитата:
Я вас правильно понял?
Да, уже понял, где ступил.
Цитата:
Микротики нужно включать ДО сисек
Слишком глобально по-моему для аварийного подключения нескольких пользователей. Да и... не кошерно, что ли.
 
vertex4
Цитата:
На циске настроить два туннеля
Какая разница сколько туннелей, если канал один.
 
Paromshick
Говорю же, не выспался.
 
Вообще-то, раньше работало немного по другой схеме: микротик с йотой (а сначала зухель) был подключен во вторую сетевуху RDP-сервера. Но после переезда йота не ловит рядом с серверной. А туда где ловит для такой схемы надо тянуть отдельный кабель метров на 70. Этот вариант у меня остается как последнее средство. Поэтому, сначала решил, так сказать, смухлевать.
 
Спасибо.

Всего записей: 67 | Зарегистр. 07-08-2007 | Отправлено: 13:14 28-09-2017 | Исправлено: Engraf, 13:17 28-09-2017
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проброс портов в локалку через дополнительный шлюз.

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2017

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru