Forum » Omrežja in internet » Port forwarding preko VPN - Mikrotik
Port forwarding preko VPN - Mikrotik
chort ::
Oj,
imam problem ki presega moje razumevanje mikrotikovega routinga.
Scenarij:
V garaži v pripizdini imam seizmograf za zgoščanje mreže stalnih opazovalnic, s stalnim ipjem v mojem LANu. Router je rb2011, ros6.49. Prej sem imel WAN preko LTE s stalnim IP naslovom, sedaj imam hkrati Starlink (CGNAT) in za rezervo isti LTE, ki se bi ga rad rešil (že 3 mesece plačujem naročnino z zalitim modemom montiranim 10m visoko na jelki). Problem nastane, ker se klienti (državna mreža, inštitut) povezujejo na 5 različnih portov mojega LTE stalnega IPja, na Starlinku pa nimam možnosti stalnega IPja.
Na firmi imam TP-Link er605v2 na optiki s stalnim IP, ki bi lahko bil VPN endpoint, zunanje porte bi preusmeril na VPN IP mojega Mikrotika in potem naprej do seizmografa, ali še raje direktno na seizmografov IP (nad katerim pa nimam kontrole).
Trenutno imam na TPlinku vzpostavljen OpenVPN tunel v site-to-client načinu med routerjema, Mikrotik dobi VPN IP in ima tunel viden kot interface. Ampak kako pri p**** na Mikrotiku preusmerim porte na IP naslov seizmografa?
Dopuščam možnost da delam idiotizem, sprejemam tudi bolj osebne kritike ali diametralno različne predloge ;)
imam problem ki presega moje razumevanje mikrotikovega routinga.
Scenarij:
V garaži v pripizdini imam seizmograf za zgoščanje mreže stalnih opazovalnic, s stalnim ipjem v mojem LANu. Router je rb2011, ros6.49. Prej sem imel WAN preko LTE s stalnim IP naslovom, sedaj imam hkrati Starlink (CGNAT) in za rezervo isti LTE, ki se bi ga rad rešil (že 3 mesece plačujem naročnino z zalitim modemom montiranim 10m visoko na jelki). Problem nastane, ker se klienti (državna mreža, inštitut) povezujejo na 5 različnih portov mojega LTE stalnega IPja, na Starlinku pa nimam možnosti stalnega IPja.
Na firmi imam TP-Link er605v2 na optiki s stalnim IP, ki bi lahko bil VPN endpoint, zunanje porte bi preusmeril na VPN IP mojega Mikrotika in potem naprej do seizmografa, ali še raje direktno na seizmografov IP (nad katerim pa nimam kontrole).
Trenutno imam na TPlinku vzpostavljen OpenVPN tunel v site-to-client načinu med routerjema, Mikrotik dobi VPN IP in ima tunel viden kot interface. Ampak kako pri p**** na Mikrotiku preusmerim porte na IP naslov seizmografa?
Dopuščam možnost da delam idiotizem, sprejemam tudi bolj osebne kritike ali diametralno različne predloge ;)
DamijanD ::
Ampak kako pri p**** na Mikrotiku preusmerim porte na IP naslov seizmografa?
Če misliš samo port fwd, je to tole (v Firewall pod NAT):
Se pa bojim, da iščeš nekaj bolj advaced... Ti bo Danijel pomagal, ko vidi temo
Zgodovina sprememb…
- spremenilo: DamijanD ()
Daniel ::
Čakaj, bom moral še ene parkrat prebrati, da si v glavi postavim shemo te konfiguracije. Prva stvar, ki mi sicer pade na misel je Zerotier na Mikrotiku ampak na 2011 ga nimaš, ker deluje samo na ARM napravah. Druga potencialna opcija bi bila L2TP povezava med dvema Mikrotikoma in potem gor na tej povezavi EOIP tunel, ki se obnaša praktično kot lokalni LAN. Ali pa...
Teoretično bi sicer moralo iti tudi tako, da ti med dvema lokacijama postaviš L2TP povezavo (ali Wireguard, mogoče bi šlo tudi čez Zerotier, nisem preverjal) s tem, da pač stran, ki nima fiksnega IP naslova je klient, stran s fiksnim naslovom pa server. Potem na Mikrotiku, ki je server skonfiguriraš fiksno ruto preko tega VPNa (IP/Routes) do drugega omrežja. Nato v NAT na serverju preusmeriš porte na določen fiksni IP v oddaljenem omrežju. Torej povezali se bojo na tvoj server s fiksnim IPjem, ki jih bo preusmeril do seizmometra v drugi mreži.
Ampak kot pravim, moram še parkrat prebrati kar pa bo ali kasneje ali pa mogoče jutri, ker me trenutno čaka delo v hlevu :)
Vmes pa poglej, če bi ti kaj od tega ustrezalo. Preko Zerotier lahko dobiš lokalni dostop praktično kjerkoli.
Mogoče bo še kdo drug podal kakšno koristno idejo.
Teoretično bi sicer moralo iti tudi tako, da ti med dvema lokacijama postaviš L2TP povezavo (ali Wireguard, mogoče bi šlo tudi čez Zerotier, nisem preverjal) s tem, da pač stran, ki nima fiksnega IP naslova je klient, stran s fiksnim naslovom pa server. Potem na Mikrotiku, ki je server skonfiguriraš fiksno ruto preko tega VPNa (IP/Routes) do drugega omrežja. Nato v NAT na serverju preusmeriš porte na določen fiksni IP v oddaljenem omrežju. Torej povezali se bojo na tvoj server s fiksnim IPjem, ki jih bo preusmeril do seizmometra v drugi mreži.
Ampak kot pravim, moram še parkrat prebrati kar pa bo ali kasneje ali pa mogoče jutri, ker me trenutno čaka delo v hlevu :)
Vmes pa poglej, če bi ti kaj od tega ustrezalo. Preko Zerotier lahko dobiš lokalni dostop praktično kjerkoli.
Mogoče bo še kdo drug podal kakšno koristno idejo.
Zgodovina sprememb…
- spremenil: Daniel ()
Daniel ::
Seveda za to konfiguracijo rabiš dva Mikrotika (en rabi zunanji IP), ker mislim, da tvoj TPlink ne podpira nastavljanja po meri rut in njihovega usmerjanja.
Sem preveril in na svojem Mikrotiku naredil NAT preusmeritev na napravo v omrežju na katerega sem povezan z L2TP (Mikrotik - Mikrotik). Port 18000 iz mojega routerja, ki sicer deluje v omrežju 192.168.3.0/24 na port 80 na napravi 192.168.11.20 v drugem omrežju. Na telefonu izklopil wifi in se preko mobilnega omrežja povezal na moj naslov:18000 in javil se mi je UI Nanobeam, ki pri sorodnikih 20 km stran skrbi za en bridge.
In zaključek tega je?
Sem preveril in na svojem Mikrotiku naredil NAT preusmeritev na napravo v omrežju na katerega sem povezan z L2TP (Mikrotik - Mikrotik). Port 18000 iz mojega routerja, ki sicer deluje v omrežju 192.168.3.0/24 na port 80 na napravi 192.168.11.20 v drugem omrežju. Na telefonu izklopil wifi in se preko mobilnega omrežja povezal na moj naslov:18000 in javil se mi je UI Nanobeam, ki pri sorodnikih 20 km stran skrbi za en bridge.
In zaključek tega je?
Zgodovina sprememb…
- spremenil: Daniel ()
chort ::
Hvala vsem za odgovore in predloge. Na koncu sem ugotovil da me nekajletna licenca za PureVPN s fiksnim IPjem stane manj kot še en mikrotik, in sem postavil VPN relay na linux strežniku znotraj mreže in preko njega routal seizmograf. Dela ok, ampak mislim da bom moral dat v cron job periodičen reštart klienta preko cli, GUI se namreč včasih malo userje in ne poveže na pravi endpoint.
Daniel ::
Hap Ax Lite stane 50 eur. Sicer pa važno, da si uredil zadevo tako, da deluje. Ostale malenkosti boš pa počasi ravno tako uredil.
chort ::
Ajde, priznam da mi je možnost torrentov na sicer še kr nazi starlinku tudi malo pasala :) Moram pa letos zamenjat rb2011 ki postaja malo betežen, ob tem pa še LtAP Mini ki je na jelki služil kot backup link preden ga je skurilo. Malo sem zadnja leta manj sledil napredku, kaj bi priporočal kot dober mikrotik router (do 30 clientov znotraj hiše, še ene 50 na drugi strani P2P WLAN linka do sosedov)? Serverska omara je v garaži, do hiše bi poskusil nato napeljat vsaj 2.5g ali še raje 10g link.
Daniel ::
Če rabiš kaj več boš pa že moral gledati po CCR varianti, so pa tudi cene tam krepko višje. Sam imam trenutno v mreži 60 naprav, postavljenih nekaj VPN povezav, v prihodnje bom najbrž gor na 5009 dal še kakšno po meri adlisto, in pa UDPProxy še dela gor za IPTV. Imaš pa tudi 10 Gb SFP port in 2.5 Gbit Ether1 port, če bi kdaj dodal kakšen 2,5G ali 10G switch.
bciciban ::
Zanimiva kombinacija, kmetovanje in šravfanje mikrotikov.
A to je tista pregovora fora, ko se naveličaš it-ja greš pa "ovce past"?
A to je tista pregovora fora, ko se naveličaš it-ja greš pa "ovce past"?
c3p0 ::
Ja, RB2011 je sicer večen, a že precej zastarel, tudi sam sem ga letos menjal z omenjenim RB5009, zaradi prehoda na 1GBps optiko.
Daniel ::
Kdaj so pa udpxy omogočili, da dela na mikrotiku?
Preko Container funkcije dela.
Zanimiva kombinacija, kmetovanje in šravfanje mikrotikov.
A to je tista pregovora fora, ko se naveličaš it-ja greš pa "ovce past"?
Nikoli zaposlen v ITju. Kmetijska šola.
Zgodovina sprememb…
- spremenil: Daniel ()
Vanadium ::
@daniel: Kapo dol glede na znanje mikrotikov (seveda to je moja subjektivna ocena, kot popolni amater)
Daniel ::
Saj tudi moje znanje se ustavi, če se pričnemo pogovarjati o skriptah na Mikrotikih, BGPju in ostalih bolj operaterskih zadevah. Kolikor pa vem, pa pač skušam pomagati, ker gre za res uporabne in zelo prilagodljive naprave.
Vanadium ::
Ma jaz čakam, da spravijo ven neko napravo z vsaj 2xsfp+ portoma, pa vsaj 4x 2.5G od tega mora bit vsaj 1 POE pa, da je vse skupaj pasivno hlajeno, dejansko bi RB5009UPr+S+IN bil skoraj idealen, če bi imel vsaj še 2xSFP+, bi celo nekako preživel z 1x2.5G in 7x1G pol pa takoj nabavim.
Zgodovina sprememb…
- spremenilo: Vanadium ()
Daniel ::
Težko bo pokril popolnoma vse zahteve. Pa tudi cena zavije kar precej ven iz consumer segmenta.
starfotr ::
Seveda gre cena gor, če se gre v mnogo bolj zmogljiv segment, kot pa klasika za domačo rabo.
c23po ::
Kako Mikrotika prepričati, da odgovori na zahteve iz LAN na javni IP.
Na javnem IP JE dosegljiv strežnik in bi bilo praktično, če bi ga tudi iz LAN naslavljal preko javnega IP.
Na javnem IP JE dosegljiv strežnik in bi bilo praktično, če bi ga tudi iz LAN naslavljal preko javnega IP.
Računalniki nimajo spominov.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Usmerjevalnik Mikrotik (strani: 1 2 3 )Oddelek: Kaj kupiti | 11883 (3442) | miko22 |
| » | VPN do LTE routerja?Oddelek: Omrežja in internet | 1922 (564) | Daniel |
| » | Dostop do kamer ki so na 3G/4G mobilnem omrežju, Slovenija, HrvaškaOddelek: Pomoč in nasveti | 1495 (961) | Daniel |
| » | Domače omrežje - preveč heavy duty za hardwareOddelek: Omrežja in internet | 2906 (1333) | roki11 |
| » | mikrotik pomocOddelek: Pomoč in nasveti | 4944 (3190) | kronik |