Проблемы с подключением по RDP при двойном NAT

[sasha300]

Привет!
На Xubuntu запускаю Remmina и пытаюсь через по RDP протоколу подключиться к удаленному компу - секунд 5 ждет и вываливает сообщение, что не может установить соединение. Делал несколько раз - ситауция повторяется. На винде запускаю удаленный досуп, подключаюсь, окошко висит секунд 15 и соединение проходит успешно. В дальнейшем из Remmina тоже успешно подключаюсь.
Когда стоял только один Микротик, т.е. был один NAT, то подключение из любой программы происходило мгновенно, а сейчас какие-то траблы =(
В будущем в свою подсеть планирую воткнуть свисток, дабы организовать резервный канал, поэтому пришлось выбрать такую топологию.

Структура сети:
интернет => Микротик с подсетью 192.168.2.0 => Микротик с подсетью 192.168.0.0, ip адрес самого Микротика 192.168.2.50 => комп на винде с разрешением удаленных подключений по RPD протоколу.
На тике с подсетью 192.168.2.0 пробросил порт:

/ip firewall nat
add action=netmap chain=dstnat dst-port=3389 in-interface=\
ether1-External protocol=tcp to-addresses=192.168.2.50 to-ports=3389

на тике с подсетью 192.168.0.0 проброс 3389 порта уже до конечного компа:

add action=netmap chain=dstnat dst-port=3389 in-interface=\
ether1-External protocol=tcp to-addresses=192.168.0.2 to-ports=3389

Есть идеи, как решить данную проблему?

[Chupaka]

Доброго.

Не совсем понимаю, в чём может быть причина такого поведения (при нормальных настройках всё должно работать, как часы), но если причина действительно в двойном NAT'е - то предлагаю просто его убрать

Для этого на втором роутере выключить src-nat, а на первом прописать маршрут к 192.168.0.0/24 через 192.168.2.50. Ну и пробрасывать порт на первом сразу на сервер.

[sasha300]

а потом во второй тик (192.168.0.0) воткну свисток, то он будет работать или надо будет включать nat ?

[Chupaka]

Будет работать. NAT добавится для интерфейса свистка, для вышестоящего роутера он не нужен

[sasha300]

Спасибочки, сейчас опробую совет!

[sasha300]

Так?

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.2.50

В нате пробросил порт 3389 прямо на клиентский комп, но не заработало =(

[sasha300]

попробовал так:

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=bridge1 pref-src=192.168.2.50

в нате прописал:

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-External
add action=netmap chain=dstnat dst-port=3389 in-interface=\
    ether1-External protocol=tcp to-addresses=192.168.0.2 to-ports=3389

не фурычит ( Видать что-то не правильно сделал =(

[Chupaka]

Так?

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.2.50

Да, так. Пинг с роутера на адрес сервера пошёл? А то, может, Policy Routing какой мешает. Правила файрвола на втором роутере пропускают нужный трафик?

С клиентов второго роутера доступ в Интернет есть вообще после выключения НАТа и добавления маршрута? Дайте хоть минимальную диагностику, а не просто "не работает". А то мало ли вы в розетку включить забыли...

[sasha300]

сейчас опробую, пару минут плиз

[sasha300]

Так?

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.2.50

Да, так. Пинг с роутера на адрес сервера пошёл? А то, может, Policy Routing какой мешает. Правила файрвола на втором роутере пропускают нужный трафик?

Пинги не идут.
Для чистоты эксперимента на втором тике все правила фаервола отключил. Вобщем ни в Нат, ни в правилах фаервола нет ни одной записи

С клиентов второго роутера доступ в Интернет есть вообще после выключения НАТа и добавления маршрута? Дайте хоть минимальную диагностику, а не просто "не работает". А то мало ли вы в розетку включить забыли...

Я удаленно настраиваю, там не нахожусь, но могу точно сказать, что один из комповв второго роутера точно работает. Попробовал подрубиться через ID TeamViewer - нет коннекта

С первого Микротика пингую комп, который точно включен - пингов нет, вот скрин:

Снимок экрана_2019-03-17_20-35-19.png

[sasha300]

Сейчас временно на втором тике включил нат, переделал проброс портов и успешно зашел на клиентский комп второго тика. Сейчас опять отрублю нат и все правила фаервола на втором тике и пошагово попробую настроить

[sasha300]

Подрубился! Опять включил маршрут и пинги сразу же пошли до клиентского компа. Странно как-то, ничего не менял, просто маршрут выключил, да включил..

[sasha300]

Теперь на клиентском компе нет инета =(
Запустил трассировку, вот что пишет:

Снимок экрана_2019-03-17_21-05-01.png

Правило маскарадинга надо еще прописать или проблема в другом?

Второй тик, где уже выключен НАТ пигнует первый Микротик и домены в интернете. А вот клиентские компы интернет не видят =(
Все оказалось намного проще: так как на первом роутере было все запрещено, то нужно было из подсети 192.168.0.0 разрешить доступ к интеу =)
Спасибо Chupaka за советы!

[Chupaka]

Ура, ура =)

[Opa4ki]

Продолжу тему спустя 4 года . Похожий вопрос. Только нужно с одного ПК на виндос подключиться к другому на виндовс по RDP. Два микрота, комп за вторым микротом. Как правильно это сделать?

[Chupaka]

Хм... Вы сообщения выше вообще читали? Что именно в них не поняли?