Форум на Исходниках.RU

Форум на Исходниках.RU https://forum.sources.ru Форум на Исходниках.RU Форум на Исходниках.RU https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880565 Mon, 31 Oct 2022 20:57:49 +0000 Проброс 2 внешних портов на 1 сервер с 2 nic https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880565

chain=dstnat action=netmap to-addresses=192.168.1.90 to-ports=3389 protocol=tcp dst-port=3001 log=no log-prefix=""

chain=srcnat action=src-nat to-addresses=192.168.1.250 protocol=tcp dst-address=192.168.1.90 dst-port=3389 log=no log-prefix=""

]]> ^D^ima Сетевые Технологии https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880564 Mon, 31 Oct 2022 18:15:27 +0000 Проброс 2 внешних портов на 1 сервер с 2 nic https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880564 Цитата ^D^ima @ 31.10.22, 06:31

от внешнего адреса интернета.

Это неверно. И именно это и есть источник наблюдаемой проблемы.

Цитата ^D^ima @ 31.10.22, 06:31

По всем мануалам мы делаем просто dst-nat для проброса портов а обратно отрабатывает маскарадинг

Просто ни один мануал не рассматривает доступа по маршруту, отличающемуся от дефолтного.]]> Akina Сетевые Технологии https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880506 Mon, 31 Oct 2022 06:31:07 +0000 Проброс 2 внешних портов на 1 сервер с 2 nic https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880506 Цитата Akina @ 31.10.22, 05:39

А от какого адреса приходят эти пакеты?

от внешнего адреса интернета. Отрабатывает dst-nat

Gonarh

Скрытый текст

strict - Strict mode as defined in RFC3704 Strict Reverse Path. Each incoming packet is tested against the FIB and if the interface is not the best reverse path the packet check will fail. By default failed packets are discarded.

Как это перевести на русский?

Добавлено 31.10.22, 06:34

Цитата Akina @ 31.10.22, 05:39

не выполняет подмену истинного адреса источника на свой.

По всем мануалам мы делаем просто dst-nat для проброса портов а обратно отрабатывает маскарадинг]]> ^D^ima Сетевые Технологии https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880503 Mon, 31 Oct 2022 05:39:25 +0000 Проброс 2 внешних портов на 1 сервер с 2 nic https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880503 Цитата ^D^ima @ 30.10.22, 19:27

wireshark показывает что микрот отрабатывает и внешнее RDP на 3001 приходит на IP 192.168.1.90

А от какого адреса приходят эти пакеты? Должны приходить от 192.168.1.250, и при этом дефолтный маршрут вообще не при чём... если ответ идёт в соответствии с таблицей маршрутизации на дефолтный гейт, значит, микротик неправильно пробрасывает порт, не выполняет подмену истинного адреса источника на свой.

PS. Я бы предложил порыться тут: https://forummikrotik.ru/viewforum.php?f=15]]> Akina Сетевые Технологии https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880500 Mon, 31 Oct 2022 04:49:45 +0000 Проброс 2 внешних портов на 1 сервер с 2 nic https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880500 Gonarh Сетевые Технологии https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880493 Sun, 30 Oct 2022 19:27:21 +0000 Проброс 2 внешних портов на 1 сервер с 2 nic https://forum.sources.ru/index.php?showtopic=430803&view=findpost&p=3880493 Сервер(Windows server 2016) в локальной сети, 2 nic с разными подсетями(IP 192.168.0.90 mask 255.255.255.0, IP 192.168.1.90 mask 255.255.255.0).
Микротик IP 192.168.0.250, IP 192.168.1.250
Я хочу подключаться к серверу через интернет через RDP по разным портам(3000 и 3001 на разные интерфейсы сервера). Нужно пробросить с микротика.

Интернет - RDP 3000 - mikrotik - server NIC 1
Интернет - RDP 3001 - mikrotik - server NIC 2

1 порт пробрасывается (dst-nat ), со вторым проблема. т.к. на сервере может быть только 1 шлюз по умолчанию и проброшенный через dst-nat пакет на NIC2 IP 192.168.1.90 (как я понял) пытается уйти через NIC1 IP 192.168.0.90 и связь не работает.
wireshark показывает что микрот отрабатывает и внешнее RDP на 3001 приходит на IP 192.168.1.90

Я так понимаю что для порта 3001 нужно не только менять адрес назначения dst-nat 192.168.1.90 но и src-nat на IP микрота 192.168.1.250.
Так ли это? Если да, как одновременно сделать для входящего подключения именно на порт 3001 и src-nat и dst-nat? Но если сделать src-nat то как потом сделать обратное преобразование? :crazy:

Можно сделать статические маршруты на сервере, но это будет работать только для определенных внешних адресов, и то получается что с 1 внешнего адреса я смогу подключаться на 3000 порт а с другого на 3001]]> ^D^ima Сетевые Технологии