tak si to rozdeľme na drobné či som to správne pochopil:
- máš komunikáciu z IP alebo siete ktorá smeruje na známu IP(1.2.3.4) a port 44302 a ty chceš aby smerovala na tú istú známu IP (1.2.3.4) port 443 ALE iným výstupným interface ako je tvoja default gateway? A má sa touto cestou vydať len táto komunikácia alebo všetko čo bude smerovať na 1.2.3.4-?
Podrobnejsi popis:
Windows stroj se ma na HTTPS dotazovat ruznych serveru, ktere jsou na routovanych vzdalenych lokalnich sitich (172.16.45.0/24). Sluzba ma vzdy stejnou IP adresu coz neovlivnim (1.1.1.149). Protoze cela trasa ma by transparentni a protoze si cilovy server kontroluje, jak je sluzba volana a rozhodl jsem se posilat pakety do prislusnych siti podle cisla ciloveho portu (lepsi reseni mne nenapada). Tedy server vola cilovou adresu a TCP portem urcuje kde se ten cilovy server nachazi. Cilova adresa je routovana na koncentrator, ktery podle portu posle dotaz do spravne site.
Dnes v noci mne napadlo takove trochu zoufale reseni.
Nastaveni na koncetratoru:
- proste to prelozim do transportni sítě na spravnem portu
/ip firewall nat
add action=dst-nat chain=dstnat comment="lokalita 02" \
dst-address=1.1.1.149 dst-port=44302 in-interface=ether1-uplink \
protocol=tcp to-addresses=172.16.45.2 to-ports=443
[code]
Nastaveni na klientovi:
- DST-NATem to prelozim na spravnou cilovou adresu
- a SRC-NATem zajistim aby to melo spravnou zdrojovu adresu
[/code]
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=443 in-interface=sstp-office protocol=tcp \
to-addresses=1.1.1.149 to-ports=443
add action=src-nat chain=srcnat dst-address=1.1.1.149 dst-port=443 \
out-interface=ether3-endpoint protocol=tcp to-addresses=10.10.10.148
/ip route
add distance=1 dst-address=10.10.10.128/25 gateway=ether3-endpoint
Je to sice funkcni, ale zda se mi to zbytecne slozite. Dvoji, resp. troji preklad NATem asi neni uplne idealni.
Napada Vas neco lepsiho?
