Engraf Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте, уважаемые!   Схема такая: есть основной офис, и есть логистический центр, в котором находится серверная. Между офисом и ЛЦ поднят GRE туннель на цисках. В качестве резервного инета в ЛЦ решили использовать модем yota воткнутый в микротик (других провайдеров нет). Микротик включен в локальную сеть. Настроил проброс портов для подключения через RDP к терминальным серверам, чтобы при падении основного канала, некоторым пользователям из офиса был предоставлен доступ к сервисам.   Собственно, проблема: видно, что микротик пропускает , однако подключения нет. Причина выяснилась: у RDP-клиента IP адрес подключения = IP адресу локального хоста, с которого подключается. Соответственно, RDP-сервер направляет пакеты на этот IP через основной шлюз (в туннель), а не через микротик. Каким образом локальный IP компа в офисе проходит через NAT микротика не могу понять. Понятно, что дело в туннеле (с телефона, например, нормально подключается), но почему так и как исправить не догоняю.   Помогите разобраться, или может предложите принципиально иной способ организовать сабж. Спасибо. Всего записей: 67 | Зарегистр. 07-08-2007 | Отправлено: 12:41 27-09-2017 | Исправлено: Engraf, 13:28 27-09-2017

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Engraf Цитата: модем yota воткнутый в микротик Есть же тема по микротик, чем не устроила? Все у тебя работает правильно, винде пофиг, откуда пришел пакет, ответ она отправит на дефолт шлюз. Поэтому тебе нужно, чтобы микротик работал не как НАТ, а типа прокси. То есть подменял адрес клиента своим. Как это сделать, и можно ли, интересуйся в теме микротика. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 18:28 27-09-2017

MAGNet Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Engraf, у вас на GRE поднят туннель, который "держит" общую локалку между центром и ЛЦ и вы пытаетесь "пробросить" порты из своей локалки через интернет в свою локалку? Я вас правильно понял?   Добавлено: Микротики нужно включать ДО сисек, чтоб они сами "разруливали" интернет-маршруты. Отвалился основной - включился резервный. Для сисек они должны быть "прозрачными", сиске вообще должно быть до фонаря, через где у неё пойдет GRE. я так думаю. чисто теория, на практике такие городушки не строил Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 18:42 27-09-2017

MAGNet Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vertex4, пришел Ржевский и всё опошлил.. Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 19:57 27-09-2017

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vertex4 Цитата: yota-модем поставить в циску. ЕМНИП, циска не сделала поддержку ёты, и даже не собирается. Мотивируя тем, что не желает ненадежными узлами херить репутацию своих систем.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 20:17 27-09-2017

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я конечно туп, но   Когда внешний адрес пробрасывается не через шлюз по умолчанию, а через другой хост, то сессия установиться не может. Компьютер подключения ответит на запрос не из своей подсети через свой шлюз по умолчанию. И бракосочетание коннекшн не состоится. Никакой   Надо этот внешний адрес маскировать, чтобы хост подключения "думал", что запрос приходит из своей подсети. И не ломился со своим ответом на дефолтный гейтвей. Так никакую сессию не установить Таким образом, это "обратный NAT", маскирование не внутреннего, а внешнего адреса. Есть шикарное слово, не гомосексуализм, нет, его не знала Фима СОбак, но знают некоторые админы. Маскарадинг, ага. А то, чем вы пытаетесь заниматься весьма похоже на то слово, которое таки знала Фима Собак Либо, если подсеть, с которой идёт запрос, заранее известна, то прописать маршрут в неё.   А ваших слов более высокого уровня, знать для понимания вышенаписанного - не обязательно. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:43 27-09-2017 | Исправлено: Paromshick, 20:43 27-09-2017

MAGNet Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ..читаю вот и размышляю о вечном.. и вспоминается мне недавняя беседа, а если быть точным, то маленькое одностишие из неё, и я его сейчас вам напомню. ведь мы же тут все "китайские комсомольцы" и мы не ищем лёгких путей! - А можно сделать так - Yes, but trough the ass Всего записей: 2074 | Зарегистр. 31-03-2004 | Отправлено: 21:25 27-09-2017

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vertex4 Цитата: асинхронная маршрутизация? Да кто их разберет. Маскарадинг Reverse NAT, Source NAT... Может и маршрутизация, не знаю. Знание одного принципа, освобождает от запоминания многих правил. Товарищ Конфуций, если я не ошибаюсь. После того, как я узнал, что DDNS это не Dynamic DNS, a Diamond DNS и это "true forever", и навсегда я должен думать именно так, то я ввел в мировоззренческую модель новый уровень. Vendor Terminology Level. Пользуюсь редко. Можно сказать, что уровень не используется. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 06:46 28-09-2017 | Исправлено: Paromshick, 06:46 28-09-2017

Engraf Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Цитата: Есть же тема по микротик, чем не устроила? Я посчитал, что микротик здесь не главное. Раньше, например, это был не микротик, а Zyxel, но в нем йота постоянно отваливалась. Нужен принцип, а не конфигурация конкретной железки. Цитата: Поэтому тебе нужно, чтобы микротик работал не как НАТ, а типа прокси. Вот такой, например Буду пробовать. Цитата: Все у тебя работает правильно, винде пофиг, откуда пришел пакет, ответ она отправит на дефолт шлюз. Вроде бы очевидно, но че-то я этот момент упустил...   MAGNet Цитата: Я вас правильно понял? Да, уже понял, где ступил. Цитата: Микротики нужно включать ДО сисек Слишком глобально по-моему для аварийного подключения нескольких пользователей. Да и... не кошерно, что ли.   vertex4 Цитата: На циске настроить два туннеля Какая разница сколько туннелей, если канал один.   Paromshick Говорю же, не выспался.   Вообще-то, раньше работало немного по другой схеме: микротик с йотой (а сначала зухель) был подключен во вторую сетевуху RDP-сервера. Но после переезда йота не ловит рядом с серверной. А туда где ловит для такой схемы надо тянуть отдельный кабель метров на 70. Этот вариант у меня остается как последнее средство. Поэтому, сначала решил, так сказать, смухлевать.   Спасибо. Всего записей: 67 | Зарегистр. 07-08-2007 | Отправлено: 13:14 28-09-2017 | Исправлено: Engraf, 13:17 28-09-2017

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проброс портов в локалку через дополнительный шлюз.

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование