使用两个 MikroTik 路由器的站点到站点隧道,其中一个端点位于 NAT(LTE 调制解调器)后面

tag-icon tag-icon openvpn pptp site-to-site-vpn mikrotik
使用两个 MikroTik 路由器的站点到站点隧道,其中一个端点位于 NAT(LTE 调制解调器)后面

我想将两个办公室互联起来,其中一个办公室有公共静态IP 地址(主办公室),第二个是NAT 之后(没有公共 IP)因为只有一个 LTE 调制解调器。

我能够从 LTE 调制解调器创建到总部的单向 VPN 连接,但能否使两个办公室之间的 TCP 通信双向化?这样总部的人员就可以通过 RDP 连接到分支机构吗?

(我正在使用两个 MikroTik Routerboards 和一个 PPTP 连接。如果需要,我应该能够更改为 L2TP。)

更新:

我将根据要求提供详细信息:

主办公室:LAN:192.168.16.0/24
公共 IP:MAIN_OFFICE_IP

分支机构 LAN:192.168.1.0/24
公共 IP:[来自 ISP 的 DHCP]

分支机构配置:

两个网络接口
一个 PPTP 客户端
绝对基础的防火墙和 NAT

/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] arp=proxy-arp name=ether2-master-local

/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=MAIN_OFFICE_IP default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 name=\
MAIN_OFFICE_VPN password=******** profile=default-encryption user=MAIN_OFFICE_USER

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=MAIN_OFFICE_VPN
add action=dst-nat chain=dstnat dst-address=BRANCH_IP dst-port=100 protocol=tcp

/ip route
add distance=1 dst-address=192.168.16.0/24 gateway=OFFICE_VPN routing-mark=“MAIN_OFFICE_VPN”

答案1

  • 主办公室局域网:192.168.16.0/24
  • 分支机构局域网:192.168.1.0/24
  • 互联局域网:192.168.2.0/30(举例)

在主办公室路由器上,添加一个 PPP 机密,本地地址为 192.168.2.1,远程地址为 192.168.2.2。

在分支路由器上,创建到总部的 PPTP 客户端(就像您所做的那样),它应该获得正确的 IP(192.168.2.2)。

然后你只需要添加2条路线:

在主路由器上:通过 192.168.2.2 路由 192.168.1.0/24

在分支路由器上:通过 192.168.2.1 路由 192.168.16.0/24

无需 NAT 或特殊的防火墙/混淆规则。

因此,用 Mikrotik 语言来说,结果如下:

Main router:
/ppp secret
add name=branch password=foobar profile=default-encryption remote-address=192.168.2.2 local-address=192.168.2.1 service=pptp 
/ip route 
add dst-address=192.168.1.0/24 gateway=192.168.2.2

Branch Router
/interface pptp-client
add connect-to=OFFICE_IP disabled=no name=pptp-office password=\
    foobar profile=default-encryption user=branch
/ip route 
add dst-address=192.168.16.0/24 gateway=192.168.2.1

相关内容