Проброс портов через VPN тунель

@xsyava · Регистрация: 04.06.2019

Студворк — интернет-сервис помощи студентам

Здравствуйте! Имеется роутер mikrotik с выделенным статическим ip адресом. Его подсеть 192.168.0.0/24. На нем поднят PPTP сервер. Также имеется второй роутер на OpenWRT с подсетью 192.168.8.0/24 который как клиент PPTP присоединяется mikrotik. Маршрутизация между сетями настроена, узлы одной подсети видят узлы другой.
Ранее был настроен проброс портов для подсети mikrotik

Code
1
2
3
add action=dst-nat chain=dstnat comment="Web Server and DSPhoto" dst-port=80,8080 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.0.36 to-ports=80
add action=dst-nat chain=dstnat dst-address=внешнийIP dst-port=80,8080 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.36
add action=masquerade chain=srcnat dst-address=192.168.0.36 dst-port=80,8080 protocol=tcp src-address=192.168.0.0/24

и все работало.

Теперь устройство 192.168.0.36 эмигрировало в другую подсеть и получила соответственно ip адрес 192.168.8.36, но потребность к доступу из вне к нему также осталась.

Я просто в вышеуказанных настройках заменил подсеть 0 на подсеть 8, но так не заработало. Как правильно сделать?

@Alex1126 · 03.11.2025, 17:49

на самом устройстве шлюз по умолчанию изменили?

@Maks · 03.11.2025, 18:11

Сообщение от xsyava

На нем поднят PPTP сервер

Пул ip-адресов для клиентов PPTP на микротике какой задан?

@xsyava · 04.11.2025, 08:55 **[ТС]**

На самом устройстве шлюз по умолчанию не менял. Он стоит 192.168.8.1. Шлюз по умолчанию он (это Synology Nas) не дает поменять, но в настройках его сети есть статическая маршрутизация.

Пул для данного клиента 192.168.5.2

@xsyava · 04.11.2025, 09:05 **[ТС]**

Вот добавляю картинку маршрутизации NAS сервера

@.None · 05.11.2025, 19:11

скорей всего проблема в том, что обратный пакет от 192.168.8.36 уходит через основной шлюз своего роутера, а не уходит назад в туннель

есть 2 варианта решения:
1. на роутере 192.168.8.0/24 маркировать соединения пришедшие из туннеля и назад по метке отправлять назад в туннель (PBR)
2. на микротике маскировать (src-nat) src адрес пакета туннельным адресом микротика (192.168.5.1)

правильным будет вариант 1, т.к. в варианте 2 не будет видно настоящего src адреса, а будет всегда 5.1, но вариант 2 проще, всего 1 правило src-nat (маскарад)

@xsyava · 08.11.2025, 11:54 **[ТС]**

Ну там же есть еще локальные узлы двух подсетей (к примеру 192.168.8.5 и 192.168.0.191 и другие) которые между собой общаются сейчас нормально их мне пакеты же не нужно маркировать. Можно тогда правильно маркировать пакеты пришедшие из сети 192.168.0.0/24 но которые пришли из интернета, а не из локалки. Или так нельзя их идентифицировать?

Новые блоги и статьи Все статьи Все блоги /
Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .	PowerShell и онлайн сервисы. Валюта (floatrates.com руб.) iNNOKENTIY21 11.11.2025 PowerShell функция floatrates-rub Примеры вызова: # Указанная валюта 'EUR' floatrates-rub -Code 'EUR' # Список имеющихся кодов валют floatrates-rub -Available function floatrates-rub {	PowerShell и онлайн сервисы. Погода (RP5.ru) iNNOKENTIY21 11.11.2025 PowerShell функция Get-WeatherRP5rss для получения погоды с сервиса RP5 Примеры вызова Get-WeatherRP5rss с указанием id 5484 — Москва (восток, Измайлово) и переносом строки:. . .	PowerShell и онлайн сервисы. Погода (wttr) iNNOKENTIY21 11.11.2025 PowerShell Функция для получения погоды с сервиса wttr Примеры вызова: Погода в городе Омск с прогнозом на день, можно изменить прогноз на более дней, для этого надо поменять запрос:. . .
PowerShell и онлайн сервисы. Валюта (ЦБР) iNNOKENTIY21 11.11.2025 # Получение курса валют function cbr (] $Valutes = @('USD', 'EUR', 'CNY')) { $url = 'https:/ / www. cbr-xml-daily. ru/ daily_json. js' $data = Invoke-RestMethod -Uri $url $esc = 27 . . .	И решил я переделать этот ноут в машину для распределенных вычислений Programma_Boinc 09.11.2025 И решил я переделать этот ноут в машину для распределенных вычислений Всем привет. А вот мой компьютер, переделанный из ноутбука. Был у меня ноут асус 2011 года. Со временем корпус превратился. . .	Мысли в слух kumehtar 07.11.2025 Заметил среди людей, что по-настоящему верная дружба бывает между теми, с кем нечего делить.	Новая зверюга volvo 07.11.2025 Подарок на Хеллоуин, и теперь у нас кроме Tuxedo Cat есть еще и щенок далматинца: Хочу еще Симбу взять, очень нравится. . .	Инференс ML моделей в Java: TensorFlow, DL4J и DJL Javaican 05.11.2025 Python захватил мир машинного обучения - это факт. Но когда дело доходит до продакшена, ситуация не так однозначна. Помню проект в крупном банке три года назад: команда data science натренировала. . .

@Alex1126 151 / 135 / 26 Регистрация: 12.12.2020 Сообщений: 1,108
	03.11.2025, 17:49
	на самом устройстве шлюз по умолчанию изменили? 0

@xsyava 1 / 1 / 0 Регистрация: 04.06.2019 Сообщений: 33
	04.11.2025, 08:55 [ТС]
	На самом устройстве шлюз по умолчанию не менял. Он стоит 192.168.8.1. Шлюз по умолчанию он (это Synology Nas) не дает поменять, но в настройках его сети есть статическая маршрутизация. Пул для данного клиента 192.168.5.2 0

@xsyava 1 / 1 / 0 Регистрация: 04.06.2019 Сообщений: 33
	04.11.2025, 09:05 [ТС]
	Вот добавляю картинку маршрутизации NAS сервера 0

@.None 4365 / 1693 / 342 Регистрация: 23.06.2009 Сообщений: 6,005
	05.11.2025, 19:11
	Сообщение было отмечено NoNaMe как решение Решение скорей всего проблема в том, что обратный пакет от 192.168.8.36 уходит через основной шлюз своего роутера, а не уходит назад в туннель есть 2 варианта решения: 1. на роутере 192.168.8.0/24 маркировать соединения пришедшие из туннеля и назад по метке отправлять назад в туннель (PBR) 2. на микротике маскировать (src-nat) src адрес пакета туннельным адресом микротика (192.168.5.1) правильным будет вариант 1, т.к. в варианте 2 не будет видно настоящего src адреса, а будет всегда 5.1, но вариант 2 проще, всего 1 правило src-nat (маскарад) 0

@xsyava 1 / 1 / 0 Регистрация: 04.06.2019 Сообщений: 33
	08.11.2025, 11:54 [ТС]
	Ну там же есть еще локальные узлы двух подсетей (к примеру 192.168.8.5 и 192.168.0.191 и другие) которые между собой общаются сейчас нормально их мне пакеты же не нужно маркировать. Можно тогда правильно маркировать пакеты пришедшие из сети 192.168.0.0/24 но которые пришли из интернета, а не из локалки. Или так нельзя их идентифицировать? 0

Опции темы

Проброс портов через VPN тунель

Решение