اطلاعیه

بستن
No announcement yet.

مشکل با دسترسی از بیرون به شبکه داخلی

بستن
این موضوع بسته شده است.
X
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

  • مشکل با دسترسی از بیرون به شبکه داخلی

    سلام دوستان ازمدتها پیش من این مشکل را داشتم
    توضیح میدم مشکل رو که به امید خدا بتونیم حلش کنیم.شکل زیر رو ببینید:


    ما در شبکه سازمان از دو لینک اینترنتی استفداه میکنیم که متصل به یک میکروتیک هستند و ترافیک اینترنتمون از هر 2 لینکی که داریم عبور میکنه.ما روی هر 2 مودم Static ip داریم و یکسری پورت رو باز کردیم تا از بیرون به شبکه داخلی دسترسی داشته باشیم مثل پورت Remote Desktop و Ftp.

    زمانیکه هر 2 لینک اینترنتی ما اپ هستند ما مشکل داریم یعنی وقتی از بیرون میخوایم ریموت یزنیم به سرور داخل شبکه باید چندین بار تلاش کنیم تا ارتباط برقرار شه اما وقتی مثلا دستی میام یکی از لینکها رو قطع میکنم مثلا از توی میکروتیک روت مربوط به اون رو غیر فعال میکنم مشکل حل میشه.

    من خودم فکر میکنم دلیل این مشکل اینه که وقتی یک کاربر اینترنتی از بیرون به سرور داخلی میخواد ریموت بزنه درخواستش تا خود سرور میاد ولی وقتی سرور میخواد به ابن درخواست بده ممکنه پکتهای ارسالیس از همون لینکی که ازش درخواست اومده عبور نکنه و اونوقت ارتباط برقرار نمیشه.


    ممنون میشم نظر شما بزرگواران را بدونم

  • #2
    توی منگل مثلا rdp را route mark کنید و از همون خط بفرستید بیرون
    ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=rdp passthrough=yes protocol=tcp src-port=3389

    کامنت


    • #3
      نوشته شده توسط shiraz مشاهده پست
      توی منگل مثلا rdp را route mark کنید و از همون خط بفرستید بیرون
      ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=rdp passthrough=yes protocol=tcp src-port=3389
      از بیرون ازز طریق هر 2 لینکی که داریم ارتباط برقرار میشه در این منگلی که مینویسیم چطور تعیین کنم که از کدوم لینک درخواست داره میاد و پکتهاش رو مارک کنیم؟از Source address ؟
      آخرین ویرایش توسط hexman; در تاریخ/ساعت 2014/01/18, 02:11 PM.

      کامنت


      • #4
        src address که میشه سروری که می خوان بهش ریموت بزنن
        اگر از هر دو لینک ممکنه ریموت بزنن باید یک منگل درست کنید که ای پی از هر کدوم اومد بره توی یک address list بعد توی منگل بالا بگید اینها رو بفرست از این گیت وی

        کامنت


        • #5
          باید تنظیم کنید ترافیک از هر اینترفیس میاد از همونم خارج بشه

          /ipfirewall mangle
          add chain=input connection-mark=no-mark in-interface=ISP_1 action=mark-connection new-connection-mark=WAN1->ROS
          add chain=input connection-mark=no-mark in-interface=ISP_2 action=mark-connection new-connection-mark=WAN2->ROS
          add chain=output connection-mark=WAN1->ROS action=mark-routing new-routing-mark=ISP1_Route
          add chain=output connection-mark=WAN2->ROS action=mark-routing new-routing-mark=ISP2_Route


          /ip route
          add gateway=1.1.1.1 routing-mark=ISP1_Route distance=1
          add gateway=2.2.2.1 routing-mark=ISP2_Route distance=1

          کامنت


          • #6
            نوشته شده توسط admin مشاهده پست
            باید تنظیم کنید ترافیک از هر اینترفیس میاد از همونم خارج بشه

            /ipfirewall mangle
            add chain=input connection-mark=no-mark in-interface=ISP_1 action=mark-connection new-connection-mark=WAN1->ROS
            add chain=input connection-mark=no-mark in-interface=ISP_2 action=mark-connection new-connection-mark=WAN2->ROS
            add chain=output connection-mark=WAN1->ROS action=mark-routing new-routing-mark=ISP1_Route
            add chain=output connection-mark=WAN2->ROS action=mark-routing new-routing-mark=ISP2_Route


            /ip route
            add gateway=1.1.1.1 routing-mark=ISP1_Route distance=1
            add gateway=2.2.2.1 routing-mark=ISP2_Route distance=1
            اگه بخوام فقط ترافیک RDP و Ftp رو که از بیرون به شبکه ام زده میشه رو از همون لینک عبور بدم چطور باید عمل کنم؟


            ببینید این شکل رو کامل روش توضیح دادم که به چه صورت هست منتها فقط یکی از مودمهام رو توی شکل نوشتم ولی شرایط برای اون یکی مودم هم به همین شکل هست.
            من روی اینترفیس لن مودم ای پی پابلیک ثابت دارم و برای ریموت زدن از بیرون به این ای پی ریموت میرنم بنابراین توی مودم دیگه پورت فورواردینگ انجام ندادم منتها چون توی شبکه ام به 2 سرور میخوام ریموت بزنم از 2 پورت 33891 و 33892 استفاده میکنم از بیرون و داخل میکروتیک با استفاده از dsnat این درخواستها رو به سرور های مورد نظر منتقل میکنم.
            حالا من میخوام منگلی بنویسم که مشخص کنه اتصال ریموت دسکتاپی که از بیرون زده میشه رو.ممنون میشم بر این اساس راهنمایی بفرمایید:

            آخرین ویرایش توسط hexman; در تاریخ/ساعت 2014/01/20, 09:34 AM.

            کامنت


            • #7
              من یه منگل نوشتم :
              Chain=input
              Dst address=91.98.X.1
              Protocol=tcp
              Dst port=33891
              In interface-ether 1
              Connection mark= no mark
              Action=marc connection
              New coonection mark=RDP from pasrs to server
              وقتی از بیرون به سرور داخل شبکه ریموت میزنم این منگل کار نمیکنه چون پکتی واردش نمیشه اما وقتی chanin رو از input به forward تغییر میدم شروع میکنه به پکت انداختن.مشکل چیه دوستان؟

              کامنت


              • #8
                با prerouting تست کن
                شما اومدی فرستادیش به یک ای پی دیگه پس دیگه اصلا وارد chain input نمیشه

                کامنت


                • #9
                  دوستان احتیاج به راهنمایی بیشتری دارم کمک بفرمایید لطفا

                  روشی هم که جناب RezaBehroozi معرفی کردند از زنجیره input استفاده کرده و من مدتها از این همین متد استفاده میکردم و همین مشکل برقرار بود

                  باید تنظیم کنید ترافیک از هر اینترفیس میاد از همونم خارج بشه

                  /ipfirewall mangle
                  add chain=input connection-mark=no-mark in-interface=ISP_1 action=mark-connection new-connection-mark=WAN1->ROS
                  add chain=input connection-mark=no-mark in-interface=ISP_2 action=mark-connection new-connection-mark=WAN2->ROS
                  add chain=output connection-mark=WAN1->ROS action=mark-routing new-routing-mark=ISP1_Route
                  add chain=output connection-mark=WAN2->ROS action=mark-routing new-routing-mark=ISP2_Route


                  /ip route
                  add gateway=1.1.1.1 routing-mark=ISP1_Route distance=1
                  add gateway=2.2.2.1 routing-mark=ISP2_Route distance=1
                  آخرین ویرایش توسط hexman; در تاریخ/ساعت 2014/01/21, 11:00 AM.

                  کامنت


                  • #10
                    من یه منگل نوشتم به این شکل :
                    Chain=forward
                    Dst address=91.98.X.1
                    Protocol=tcp
                    Dst port=3389
                    In interface-ether 1
                    Connection mark= no mark
                    Action=marc connection
                    New coonection mark=RDP from pasrs to server

                    یه منگل دیگه هم نوشتم:
                    chain=preroting
                    connection mark=RDP from pasrs to server
                    action=marc routing
                    new-routing-mark=pars route
                    یک روت هم نوشتم با گیت وی 91.98.X.2 و routing mark اش هم گزاشتم pars route
                    موقعی که رمیوت میزنم این منگل ها کار میکنه و پکتها واردش میشن ولی session برقرار نمیشه و نمیتونم به سرورم ریموت شم..

                    راهنمایی بفرمایید خواهشا

                    کامنت


                    • #11
                      Attachment:


                      PacketFlowDiagram_v6_page1.jpg [ 97.22 KiB | Viewed 9364 times ]



                      Attachment:


                      PacketFlowDiagram_v6_page2.jpg [ 97.11 KiB | Viewed 9364 times ]



                      Attachment:


                      PacketFlowDiagram_v6_page3.jpg [ 51.86 KiB | Viewed 9364 times ]



                      Attachment:


                      PacketFlowDiagram_v6_example1.2.jpg [ 112.34 KiB | Viewed 9364 times ]



                      Attachment:


                      PacketFlowDiagram_v6_example2.1.jpg [ 110.15 KiB | Viewed 9364 times ]



                      Attachment:


                      PacketFlowDiagram_v6_example3.1.jpg [ 119.83 KiB | Viewed 9364 times ]

                      کامنت


                      • #12
                        بنظرم میاد شما وقتی داری forward می کنی از chain فوروارد برای خروج هم استفاده کنید
                        وقتی شما dtnat نوشتید،باید رول های بعدی را با توجه به اون بنویسید
                        بر اساس چارت های بالا تحلیل کنید

                        کامنت


                        • #13
                          متاسفانه خیلی پیچیده است برای من..نمیدونم باید چیکار کنم

                          کامنت


                          • #14
                            chain بازی!
                            شما با chan های مختلف باید تست کنی ببینی کدام جوابت رو میده
                            اگر قبلش dnat نکرده بودی که input output بود،حالا من چون تست نزدم نمی دونم بگم کدام میشه

                            کامنت


                            • #15
                              برای هر لینک 3 تا منگل نوشتم تا الان که هرچی ازمایش میکنم درست بوده فکر کنم جواب بده.
                              سه تا منگلی که نوشتم:
                              1.
                              .add mangle chain=prerouting dst address=91.98.x.1 protocol=tcp dst port=33891,33892 in interface=ether1 action=marc connection new connection mark= Pars_Mark_Connection1
                              2
                              .chain=prerouting src address=10.0.0.1,10.0.0.5 protocol=tcp src port=3389 in interface=ether1 connection mark= Pars_Mark_Connection1 action=mark connection new connection mark= Pars_Mark_Connection2
                              3
                              3.chain=prerouting connection mark= Pars_Mark_Connection2 action=mark routing new mark routing= Pars_Mark_Routing



                              Route
                              Add gateway=91.98.x.2 routing mark= Pars_Mark_Routing

                              نظر شما چیه دوستان؟
                              آخرین ویرایش توسط hexman; در تاریخ/ساعت 2014/01/22, 01:45 PM.

                              کامنت

                              در حال انجام ...
                              X