0
Mikrotik 1 WAN und 1 SSTP Client DNAT
Guten Morgen zusammen!
Ich habe da mal eine kleine Verständissfrage.
Mein ether0 Port ist mein "normaler" WAN Port. Ich habe auch einen SSTP Client laufen auf meiner Box.
Der gesamte "normale" Traffic soll über ether0, alles gut so weit.
Über den SSTP Client habe ich eine eigene öffentliche ipv4. Alle eingehenden Verbindungen (mark connection) aus diesem Interface markiere ich mit einer mangle Regel als "sstp_connection". Eine Output Regel markiert alles was diese Markierung hat als "mark routing" und über eine statische Route geht dann der Krempel über den SSTP Client wieder zurück nicht über eth0.
Das funktioniert auch. Ich kann nun über die öffentliche IP auf meine Mirkotik box mit Winbox testweise zugreifen.
Ich möchte aber auch einzelne Ports an andere Client weiterleiten wie z.B. mein NAS.
Ich lege dazu einfach eine DNAT Regel mit dem entsprechende Port an, aber funktionieren tut es nicht. DNAT tauscht doch nur die Ziel IP im Paket aus, zumindest so weit ich weiß. D.h. die Verbindung müsste trotzdem die Markierung haben.
Ich habe nur eine Output Regel, was ja eigentlich nicht richtig ist. Ich bräuchte noch eine forward "mark routing" Mangle Regel. Routing mark ist aber mit forward nicht erlaubt.
Wie ist es am besten hier zu verfahren?
Folgende Mangle Regel funktioniert. Ich bin mir aber nicht sicher ob ich es so machen sollte und ob ich die Regel ganz verstehe was sie machen soll.
Die Idee ist alle Verbindungen die schon markiert sind UND von dnat betroffen sind wieder zurück über den SSTP Client zu schicken. Ist dafür die Regel richtig?
Ich habe da mal eine kleine Verständissfrage.
Mein ether0 Port ist mein "normaler" WAN Port. Ich habe auch einen SSTP Client laufen auf meiner Box.
Der gesamte "normale" Traffic soll über ether0, alles gut so weit.
Über den SSTP Client habe ich eine eigene öffentliche ipv4. Alle eingehenden Verbindungen (mark connection) aus diesem Interface markiere ich mit einer mangle Regel als "sstp_connection". Eine Output Regel markiert alles was diese Markierung hat als "mark routing" und über eine statische Route geht dann der Krempel über den SSTP Client wieder zurück nicht über eth0.
Das funktioniert auch. Ich kann nun über die öffentliche IP auf meine Mirkotik box mit Winbox testweise zugreifen.
Ich möchte aber auch einzelne Ports an andere Client weiterleiten wie z.B. mein NAS.
Ich lege dazu einfach eine DNAT Regel mit dem entsprechende Port an, aber funktionieren tut es nicht. DNAT tauscht doch nur die Ziel IP im Paket aus, zumindest so weit ich weiß. D.h. die Verbindung müsste trotzdem die Markierung haben.
Ich habe nur eine Output Regel, was ja eigentlich nicht richtig ist. Ich bräuchte noch eine forward "mark routing" Mangle Regel. Routing mark ist aber mit forward nicht erlaubt.
Wie ist es am besten hier zu verfahren?
Folgende Mangle Regel funktioniert. Ich bin mir aber nicht sicher ob ich es so machen sollte und ob ich die Regel ganz verstehe was sie machen soll.
Die Idee ist alle Verbindungen die schon markiert sind UND von dnat betroffen sind wieder zurück über den SSTP Client zu schicken. Ist dafür die Regel richtig?
/ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=sstp_client passthrough=yes connection-nat-state=dstnat connection-mark=sstp_connection in-interface=!sstp_client log=no
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 579367
Url: https://administrator.de/contentid/579367
Printed on: May 10, 2024 at 08:05 o'clock
