Início / server / Perguntas / 779287
Accepted
adamsfamily
Asked: 2016-05-27 12:34:36 +0800 CST

Túnel site a site usando dois roteadores MikroTik onde um endpoint está atrás do NAT (modem LTE)

  • 772

Gostaria de interligar dois escritórios onde um tem um endereço IP estático público (escritório principal) e o segundo está atrás de NAT (sem IP público) porque existe apenas um modem LTE.

Posso criar uma conexão VPN unidirecional do modem LTE para o escritório principal, mas é possível tornar a comunicação TCP entre os dois escritórios bidirecional? Para que as pessoas do escritório principal possam, por exemplo, RDP para a filial?

(Estou usando duas placas de roteador MikroTik e uma conexão PPTP. Devo ser capaz de mudar para L2TP, se necessário).

ATUALIZAR:

Estou fornecendo detalhes a pedido:

Escritório principal: LAN: 192.168.16.0/24
IP público: MAIN_OFFICE_IP

LAN da filial: 192.168.1.0/24
IP público: [DHCP do ISP]

Configuração da FILIAL:

duas interfaces de rede
um cliente PPTP
absolutamente básico Firewall e NAT 

/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] arp=proxy-arp name=ether2-master-local

/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=MAIN_OFFICE_IP default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=\
MAIN_OFFICE_VPN password=******** profile=default-encryption user=MAIN_OFFICE_USER

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=MAIN_OFFICE_VPN
add action=dst-nat chain=dstnat dst-address=BRANCH_IP dst-port=100 protocol=tcp

/ip route
add distance=1 dst-address=192.168.16.0/24 gateway=OFFICE_VPN routing-mark=“MAIN_OFFICE_VPN”
openvpn site-to-site-vpn pptp mikrotik

1 respostas

  1. Best Answer
    • LAN do escritório principal: 192.168.16.0/24
    • LAN da filial: 192.168.1.0/24
    • LAN de interconexão: 192.168.2.0/30 (por exemplo)

    No roteador do escritório principal, adicione um segredo PPP com endereço local 192.168.2.1 e endereço remoto 192.168.2.2.

    No roteador da filial, crie seu cliente PPTP para o escritório principal (assim como você fez), ele deve obter o IP correto (192.168.2.2).

    Então você só precisa adicionar 2 rotas:

    No roteador principal: rota 192.168.1.0/24 via 192.168.2.2

    No roteador da filial: rota 192.168.16.0/24 via 192.168.2.1

    Não há necessidade de NAT ou regras específicas de firewall/mangling.

    Então isso dá na linguagem Mikrotik:

    Main router:
/ppp secret
add name=branch password=foobar profile=default-encryption remote-address=192.168.2.2 local-address=192.168.2.1 service=pptp 
/ip route 
add dst-address=192.168.1.0/24 gateway=192.168.2.2

Branch Router
/interface pptp-client
add connect-to=OFFICE_IP disabled=no name=pptp-office password=\
    foobar profile=default-encryption user=branch
/ip route 
add dst-address=192.168.16.0/24 gateway=192.168.2.1
    • 1

relate perguntas