Назад | Перейти на главную страницу

Туннель между сайтами с использованием двух маршрутизаторов MikroTik, где одна конечная точка находится за NAT (модем LTE)

Я хочу соединить два офиса, в одном из которых есть публичная статика IP-адрес (главный офис), а второй - за NAT (нет общедоступного IP), потому что есть только модем LTE.

Я могу создать одностороннее VPN-соединение от модема LTE к главному офису, но можно ли сделать TCP-соединение между двумя офисами двунаправленным? Чтобы люди из главного офиса могли например RDP в филиал?

(Я использую две платы MikroTik Routerboard и соединение PPTP. При необходимости я смогу перейти на L2TP).

ОБНОВИТЬ:

Подробности предоставляю по запросу:

Главный офис: LAN: 192.168.16.0/24
Общедоступный IP-адрес: MAIN_OFFICE_IP

LAN филиала: 192.168.1.0/24
Общедоступный IP-адрес: [DHCP от интернет-провайдера]

Конфигурация ФИЛИАЛА:

два сетевых интерфейса
один клиент PPTP
абсолютно простой брандмауэр и NAT 

/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] arp=proxy-arp name=ether2-master-local

/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=MAIN_OFFICE_IP default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=\
MAIN_OFFICE_VPN password=******** profile=default-encryption user=MAIN_OFFICE_USER

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=MAIN_OFFICE_VPN
add action=dst-nat chain=dstnat dst-address=BRANCH_IP dst-port=100 protocol=tcp

/ip route
add distance=1 dst-address=192.168.16.0/24 gateway=OFFICE_VPN routing-mark=“MAIN_OFFICE_VPN”
  • LAN главного офиса: 192.168.16.0/24
  • LAN филиала: 192.168.1.0/24
  • Межсоединение LAN: 192.168.2.0/30 (например)

На маршрутизаторе главного офиса добавьте секрет PPP с локальным адресом 192.168.2.1 и удаленным адресом 192.168.2.2.

На маршрутизаторе филиала создайте PPTP-клиент для главного офиса (как и вы), он должен получить правильный IP-адрес (192.168.2.2).

Тогда вам просто нужно добавить 2 маршрута:

На основном маршрутизаторе: маршрут 192.168.1.0/24 через 192.168.2.2

На маршрутизаторе филиала: маршрут 192.168.16.0/24 через 192.168.2.1

Нет необходимости в NAT или особых правилах межсетевого экрана / манипуляции.

На языке Mikrotik это дает:

Main router:
/ppp secret
add name=branch password=foobar profile=default-encryption remote-address=192.168.2.2 local-address=192.168.2.1 service=pptp 
/ip route 
add dst-address=192.168.1.0/24 gateway=192.168.2.2

Branch Router
/interface pptp-client
add connect-to=OFFICE_IP disabled=no name=pptp-office password=\
    foobar profile=default-encryption user=branch
/ip route 
add dst-address=192.168.16.0/24 gateway=192.168.2.1