Port-Mappint (NAT) на хосты, которые доступны через VPN Имеется терминальный сервер в датацентре, для доступа к нему организован VPN из офиса заказчика. Однако есть филиалы, которым также необходимо получать доступ к этому серверу. Светить его внешний IP нельзя. Как в таких случаях принято делать? Чтобы филиал подключался к внешнему IP-офиса, а его пробрасывало по внутреннему IP на сервер, который находится за VPN-ом? С обоих сторон Микротики, VPN поднят средствами IPSec на них. Или поднять в офисе PPTP-VPN-сервер, на который будут "дозваниваться" удаленные филиалы и уже оттуда чтобы маршрутизировались в датацентр? |
во втором варианте накладных расходов будет больше, двойная инкапсуляция, а так все равно |
Я бы выбрал такой вариант: филиалы - сервер - [офис, терминальный сервер] т.е. сервер на "входе" в офисную сеть будет заниматься исключительно маршрутизацией, но при этом у него должен быть вырублены все средства удаленного управления (ручками из консоли). И сделана "замороженная система" (это когда физически вырубаются все средства редактирования и удаленного управления). |
Тебе все равно нужно пакеты "разруливать" от филиалов и на ДЦ, поэтому пускать лишний трафик в локалку ИМХО неразумно. |
(3): А почему трафик в локалку то пойдет? Я на самом входном Микротике подниму PPTP-сервер и все. Роль этого Микротика - только VPN, так как основным интернет-шлюзом для локалки он не является |
l2tp для дозвона, а оттуда eoip внутрь серой сети вашего "палёного адинэса" я сто раз так делал :) |
0-Stepan Razin > а нельзя сразу филиалы на впн-датацентра завернуть? зачем эта петля с головным офисом? |
это блть такая видимость защиты паленой бухии |
4-Stepan Razin > может немного не так выразился, но я имел ввиду именно это - разруливание пакетов до локалки. 6-40KHYTbIU > [quote=Stepan Razin;38019574]Имеется терминальный сервер в датацентре, для доступа к нему организован VPN из офиса заказчика. Однако есть филиалы, которым также необходимо получать доступ к этому серверу. Светить его внешний IP нельзя.[/quote] По условиям задачи. |
если сильно нужно будет, все равно же придут, и найдут куда форврд, и тд идея чисто маркетинговая, но кто же не хочет денег) |
0-Stepan Razin >микротик виртуальные туннели поддерживает? Если как на циске, то поднять ipsec vti с каждым филиалом и на том же роутере разруливать маршруты. |
в микротках же openvpn есть, чего тут огород городить в чистом поле) |
ага, и ospf тоже ))) правда овпн порезан - без tls, udp и сжатия но зато tap-м можно оч легко сделать в LAN bridge ))) |
насчет сжатия правда не уверен, просто выключал с обратной стороны |
Можно конечно извратиться и сделать так: Раз у тебя уже есть VPN от заказчика к датацентру. Ну так и сделай проброс для удаленных офисов через оборудование заказчика. *Важный момент, какой трафик и в каком объеме ходит, и достаточно ли емкости канала заказчика что бы через него прокачивать. |
(14): В этом и вопрос - простой порт-мапинг не будет с офисного IP в датацентр через VPN. Что-то надо мудрить, и собственно в этом и был главный вопрос. |
1.У заказчика в главном офисе есть VPN к датацентру, так? 2.У заказчика в главном офисе есть внешний IP, так? Если все это у него есть, тогда пробрасывай RDP порт с внешнего IP главного офиса на RDP сервер в датацентре. пример с PublicIP:40001 на DataCenterIP:3389 А из удаленного офиса подключаешься по RDP на PublicIP:40001 или я еще чего-то не понимаю? |
"В этом и вопрос - простой порт-мапинг не будет с офисного IP в датацентр через VPN." - Почему? |
кстати да, [i]Почему?[/i] потому что ip RDP сервера == public ip датацентра? учитывая стаж автора на форуме, смею заметить, что постановка вопроса весьма корявая) |
если rdp-сервер имеет внутренний, частный ip, то банальный проброс вполне нативно будет маршрутизироваться в VPN. |
19-gloomymen > +1 |
да даже неважнокакой, сачтный или публичный, маршрут же на него есть, если клиенты из офиса на него ходят, вот на него и делать проброс другое дело, если raw-rdp от филиалов считается некошерным, тогда да, нужен входящий туннель |
можно и так и так, но как-то странно с чистым рдп раз то свои же филиалы, полезнее сразу по-моему делать тунели L3 и разруливать маршруты + на центральном фаерволить уже внутрянку кому куда можно ну и канал надо чтоб в центре не узкий был. IPSec на тиках даже не пробовал, а вот с ovpn(tun он же у тика "mode ip") + ospf вполне себе работает, если заморочиться можно подобие cisco dmvpn устроить. |
В общем, если кому интересно - в Микротике это решается одной (!) командой: /ip firewall nat add chain=dstnat action=netmap to-addresses=2.2.2.2 to-ports=3389 protocol=tcp in-interface=WAN dst-port=3389 log=yes log-prefix="" comment="PortMap-to-Another-Network" |
ну обычный проброс порта |
[quote=Фанат NASCAR;43542605]ну обычный проброс порта [/quote] Обычный проброс порта - это dst-nat. А это netmap, по другому ещё называется "1:1 NAT" |
Текущее время: 16:59. Часовой пояс GMT +3. |