MikroTik.by

Привет!
На Xubuntu запускаю Remmina и пытаюсь через по RDP протоколу подключиться к удаленному компу - секунд 5 ждет и вываливает сообщение, что не может установить соединение. Делал несколько раз - ситауция повторяется. На винде запускаю удаленный досуп, подключаюсь, окошко висит секунд 15 и соединение проходит успешно. В дальнейшем из Remmina тоже успешно подключаюсь.
Когда стоял только один Микротик, т.е. был один NAT, то подключение из любой программы происходило мгновенно, а сейчас какие-то траблы =(
В будущем в свою подсеть планирую воткнуть свисток, дабы организовать резервный канал, поэтому пришлось выбрать такую топологию.

Структура сети:
интернет => Микротик с подсетью 192.168.2.0 => Микротик с подсетью 192.168.0.0, ip адрес самого Микротика 192.168.2.50 => комп на винде с разрешением удаленных подключений по RPD протоколу.
На тике с подсетью 192.168.2.0 пробросил порт:

/ip firewall nat
add action=netmap chain=dstnat dst-port=3389 in-interface=\
ether1-External protocol=tcp to-addresses=192.168.2.50 to-ports=3389

на тике с подсетью 192.168.0.0 проброс 3389 порта уже до конечного компа:

add action=netmap chain=dstnat dst-port=3389 in-interface=\
ether1-External protocol=tcp to-addresses=192.168.0.2 to-ports=3389

Есть идеи, как решить данную проблему?

Доброго.

Не совсем понимаю, в чём может быть причина такого поведения (при нормальных настройках всё должно работать, как часы), но если причина действительно в двойном NAT'е - то предлагаю просто его убрать

Для этого на втором роутере выключить src-nat, а на первом прописать маршрут к 192.168.0.0/24 через 192.168.2.50. Ну и пробрасывать порт на первом сразу на сервер.

а потом во второй тик (192.168.0.0) воткну свисток, то он будет работать или надо будет включать nat ?

Будет работать. NAT добавится для интерфейса свистка, для вышестоящего роутера он не нужен

Спасибочки, сейчас опробую совет!

Так? В нате пробросил порт 3389 прямо на клиентский комп, но не заработало =(

попробовал так: в нате прописал: не фурычит ( Видать что-то не правильно сделал =(

sasha300 писал(а): ↑17 мар 2019, 20:10 Так?

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.2.50

Да, так. Пинг с роутера на адрес сервера пошёл? А то, может, Policy Routing какой мешает. Правила файрвола на втором роутере пропускают нужный трафик?

С клиентов второго роутера доступ в Интернет есть вообще после выключения НАТа и добавления маршрута? Дайте хоть минимальную диагностику, а не просто "не работает". А то мало ли вы в розетку включить забыли...

сейчас опробую, пару минут плиз

Chupaka писал(а): ↑17 мар 2019, 20:23

sasha300 писал(а): ↑17 мар 2019, 20:10 Так?

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.2.50

Да, так. Пинг с роутера на адрес сервера пошёл? А то, может, Policy Routing какой мешает. Правила файрвола на втором роутере пропускают нужный трафик?

Пинги не идут.
Для чистоты эксперимента на втором тике все правила фаервола отключил. Вобщем ни в Нат, ни в правилах фаервола нет ни одной записи

С клиентов второго роутера доступ в Интернет есть вообще после выключения НАТа и добавления маршрута? Дайте хоть минимальную диагностику, а не просто "не работает". А то мало ли вы в розетку включить забыли...

Я удаленно настраиваю, там не нахожусь, но могу точно сказать, что один из комповв второго роутера точно работает. Попробовал подрубиться через ID TeamViewer - нет коннекта

С первого Микротика пингую комп, который точно включен - пингов нет, вот скрин:

Сейчас временно на втором тике включил нат, переделал проброс портов и успешно зашел на клиентский комп второго тика. Сейчас опять отрублю нат и все правила фаервола на втором тике и пошагово попробую настроить

Подрубился! Опять включил маршрут и пинги сразу же пошли до клиентского компа. Странно как-то, ничего не менял, просто маршрут выключил, да включил..

Теперь на клиентском компе нет инета =(
Запустил трассировку, вот что пишет: Правило маскарадинга надо еще прописать или проблема в другом?

Второй тик, где уже выключен НАТ пигнует первый Микротик и домены в интернете. А вот клиентские компы интернет не видят =(
Все оказалось намного проще: так как на первом роутере было все запрещено, то нужно было из подсети 192.168.0.0 разрешить доступ к интеу =)
Спасибо Chupaka за советы!

Ура, ура =)

Продолжу тему спустя 4 года . Похожий вопрос. Только нужно с одного ПК на виндос подключиться к другому на виндовс по RDP. Два микрота, комп за вторым микротом. Как правильно это сделать?

Хм... Вы сообщения выше вообще читали? Что именно в них не поняли?