evilmoe
Goto Top

Mikrotik 1 WAN und 1 SSTP Client DNAT

Guten Morgen zusammen!


Ich habe da mal eine kleine Verständissfrage.

Mein ether0 Port ist mein "normaler" WAN Port. Ich habe auch einen SSTP Client laufen auf meiner Box.
Der gesamte "normale" Traffic soll über ether0, alles gut so weit.

Über den SSTP Client habe ich eine eigene öffentliche ipv4. Alle eingehenden Verbindungen (mark connection) aus diesem Interface markiere ich mit einer mangle Regel als "sstp_connection". Eine Output Regel markiert alles was diese Markierung hat als "mark routing" und über eine statische Route geht dann der Krempel über den SSTP Client wieder zurück nicht über eth0.

Das funktioniert auch. Ich kann nun über die öffentliche IP auf meine Mirkotik box mit Winbox testweise zugreifen.

Ich möchte aber auch einzelne Ports an andere Client weiterleiten wie z.B. mein NAS.

Ich lege dazu einfach eine DNAT Regel mit dem entsprechende Port an, aber funktionieren tut es nicht. DNAT tauscht doch nur die Ziel IP im Paket aus, zumindest so weit ich weiß. D.h. die Verbindung müsste trotzdem die Markierung haben.

Ich habe nur eine Output Regel, was ja eigentlich nicht richtig ist. Ich bräuchte noch eine forward "mark routing" Mangle Regel. Routing mark ist aber mit forward nicht erlaubt.


Wie ist es am besten hier zu verfahren?

Folgende Mangle Regel funktioniert. Ich bin mir aber nicht sicher ob ich es so machen sollte und ob ich die Regel ganz verstehe was sie machen soll.
Die Idee ist alle Verbindungen die schon markiert sind UND von dnat betroffen sind wieder zurück über den SSTP Client zu schicken. Ist dafür die Regel richtig?

/ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=sstp_client  passthrough=yes connection-nat-state=dstnat connection-mark=sstp_connection in-interface=!sstp_client log=no

Content-ID: 579367

Url: https://administrator.de/contentid/579367

Ausgedruckt am: 21.11.2024 um 23:11 Uhr