مشکل با دسترسی از بیرون به شبکه داخلی

[hexman]

سلام دوستان ازمدتها پیش من این مشکل را داشتم و حتی یکبار در این تاپیک مطرحش کردم ولی دوستان راهنمایی نفرمودند.در حال حاضر این مشکل تبدیل به معضل شده و دنبال یک راهکار برای حالش میگردم.پیش از این در این تاپیک مطرح کرده بودم مشکلم و:

مشکل با پروت فرواردینگ در میکروتیک

حالا مجدد توضیح میدم مشکل رو که به امید خدا بتونیم حلش کنیم.شکل زیر رو ببینید:


ما در شبکه سازمان از دو لینک اینترنتی استفداه میکنیم که متصل به یک میکروتیک هستند و ترافیک اینترنتمون از هر 2 لینکی که داریم عبور میکنه.ما روی هر 2 مودم Static ip داریم و یکسری پورت رو باز کردیم تا از بیرون به شبکه داخلی دسترسی داشته باشیم مثل پورت Remote Desktop و Ftp.

زمانیکه هر 2 لینک اینترنتی ما اپ هستند ما مشکل داریم یعنی وقتی از بیرون میخوایم ریموت یزنیم به سرور داخل شبکه باید چندین بار تلاش کنیم تا ارتباط برقرار شه اما وقتی مثلا دستی میام یکی از لینکها رو قطع میکنم مثلا از توی میکروتیک روت مربوط به اون رو غیر فعال میکنم مشکل حل میشه.

من خودم فکر میکنم دلیل این مشکل اینه که وقتی یک کاربر اینترنتی از بیرون به سرور داخلی میخواد ریموت بزنه درخواستش تا خود سرور میاد ولی وقتی سرور میخواد به ابن درخواست بده ممکنه پکتهای ارسالیس از همون لینکی که ازش درخواست اومده عبور نکنه و اونوقت ارتباط برقرار نمیشه.


ممنون میشم نظر شما بزرگواران را بدونم.

---

موضوعات مشابه:

• عدم دسترسی به https://plus.google.com وقتی از پروکسی ISA استفاده می کنیم .
• دسترسی به یک وبسایت دارای SSL که دسترسی به آن از خارج از ایران محدود شده(IP ایران فقط قبول است).
• مشکل دسترسی استاندارد یوزر در ویندوز 7
• آیزا سرور: عدم وجود دسترسی به لوکال هاست باعث جلوگیری از دسترسی غیرمجاز میشه ؟؟؟

---

[hexman]

کسی از اساتید راهنمایی نمیکنه؟

[hexman]

ببینید این شکل رو کامل روش توضیح دادم که به چه صورت هست منتها فقط یکی از مودمهام رو توی شکل نوشتم ولی شرایط برای اون یکی مودم هم به همین شکل هست.
من روی اینترفیس لن مودم ای پی پابلیک ثابت دارم و برای ریموت زدن از بیرون به این ای پی ریموت میرنم بنابراین توی مودم دیگه پورت فورواردینگ انجام ندادم منتها چون توی شبکه ام به 2 سرور میخوام ریموت بزنم از 2 پورت 33891 و 33892 استفاده میکنم از بیرون و داخل میکروتیک با استفاده از dsnat این درخواستها رو به سرور های مورد نظر منتقل میکنم.
حالا من میخوام منگلی بنویسم که مشخص کنه اتصال ریموت دسکتاپی که از بیرون زده میشه رو.ممنون میشم بر این اساس راهنمایی بفرمایید:

[hexman]

من یه منگل نوشتم :

Chain=input

Dst address=91.98.X.1

Protocol=tcp

Dst port=33891

In interface-ether 1

Connection mark= no mark

Action=marc connection

New coonection mark=RDP from pasrs to server

وقتی از بیرون به سرور داخل شبکه ریموت میزنم این منگل کار نمیکنه چون پکتی واردش نمیشه اما وقتی chanin رو از input به forward تغییر میدم شروع میکنه به پکت انداختن.مشکل چیه دوستان؟

[hexman]

از اساتید میکروتیک کسی نیست راهنمایی کنه؟

[G4chB0y]

Load Balancing رو مطالعه کن

وقتی از بیرون به سرور داخل شبکه ریموت میزنم این منگل کار نمیکنه چون پکتی واردش نمیشه اما وقتی chanin رو از input بهforward تغییر میدم شروع میکنه به پکت انداختن.مشکل چیه دوستان؟

چون پکتی واردش نمیشه : Forward کار میکنه چون اون پکت داره به سمت شبکه داخلیش میره

[hexman]

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 check-gateway=ping
/ ip firewall mangle
add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn
add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn
add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan1
add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan2

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1
add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wlan2

این منگلهایی که نوشته رو میشه بفرمایید چه عملکردی داره؟فقط روی ترافیکی که از بیرون میخواد به شبکه داخلی منتقل شه تاثیر داره؟
باعث کار نرکدن روتی که قرمزش کردم نمیشه؟

چون پکتی واردش نمیشه : Forward کار میکنه چون اون پکت داره به سمت شبکه داخلیش میره

با این حساب ایا این روش برای سناریوی من کاربرد داره؟اخه در این لینکی که دادید هم از input استفاده شده است

[hexman]

من یه منگل نوشتم به این شکل :

Chain=forward

Dst address=91.98.X.1

Protocol=tcp

Dst port=3389

In interface-ether 1

Connection mark= no mark

Action=marc connection

New coonection mark=RDP from pasrs to server

یه منگل دیگه هم نوشتم:
chain=preroting
connection mark=RDP from pasrs to server
action=marc routing
new-routing-mark=pars route
یک روت هم نوشتم با گیت وی 91.98.X.2 و routing mark اش هم گزاشتم pars route
موقعی که رمیوت میزنم این منگل ها کار میکنه و پکتها واردش میشن ولی session برقرار نمیشه و نمیتونم به سرورم ریموت شم..

راهنمایی بفرمایید خواهشا

[G4chB0y]

اون خطی که قرمز شده واسه اینه که اگر یکی از Gatewayها در دسترس نبود اونو از توی لیست حذف کنه
حساسیت استفاده از منگل برای دسترسی به یک کلاینت با پورت 3389 رو متوجه نمیشم !!!!

[hexman]

حساسیت استفاده از منگل برای دسترسی به یک کلاینت با پورت 3389 رو متوجه نمیشم !!!

اقا فکر کنم دیگه همه چی رو واضح شرح دادم با شکل و توضیحات نمیدونم من دچار مشکل در درک قضیه هستم یا نتونستم به درستی مشکلم رو بیان کنم..

این منگل هایی که در این لینکی که دادید گذاشتید مشکل من رو نمیتونن حل کنن چون از chain=input استفاده کردن..

من قبلا از همین روش ECMP استفاده میکردم که همین مشکل رو داشتم

------------------------

این منگل هم با زنجیره input نوشتم کار نمیکنه

Chain=input

Dst address=91.98.X.1

Protocol=tcp

Dst port=33891

In interface-ether 1

Connection mark= no mark

Action=marc connection

New coonection mark=RDP from pasrs to server

این منگل هم از زنجیره input استفاده میکنه ولی کار نمیکنه خودتون هم فرمودید:

چون پکتی واردش نمیشه : Forward کار میکنه چون اون پکت داره به سمت شبکه داخلیش میره

[hamed_mhk]

برادر من منطق قضیه رو میگم دیگه مشکل رو خودت باید حل کنی



ظاهراً 2 تا اینترنت داری که لود بالانسینگ روش انجام شده


از بیرون طرف آی پی استاتیک یکی از اینترنت ها رو میزنه و میاد توی مودمت.
مودم هم میده به دست روتر
روتر هم میده دست سرور

یعنی یک درخواست اومده مثلاً از طرف 91.98.X.1
بعد درخواست رسیده دست سرور

وقتی سرور میخواد جواب رو برگردونه، به دلیل اینکه 91.98.X.1 رو نمیشناسه، میده دست دیفالت گیت وی
دیفالت گیت وی شما هم که روترت باشه این رو بالانس میکنه و به هر کی که دلش میخواد میده !!! که این غلطه !!

باید با نوشتن Route درست این مشکل رو حل کنی !



اگر بیشتر میخوای کمکت کنم،‌ دقیقاً باید بگی که چه کردی و سناریوت چیه و چه پورت فوروارد هایی انجام میدی
( داخل پرانتز: حقیقت حس و حال خوندن کامند های میکروتیکی که نوشتی رو ندارم! توضیح بده!)

[hamid118]

سلام
دوست عزیز اگه با route نمی تونی مشکلتو حل کنی رو MT یه PPTP سرور راه بنداز و از اون به شبکه داخلیت وصل شو

[hexman]

اگر بیشتر میخوای کمکت کنم،‌ دقیقاً باید بگی که چه کردی و سناریوت چیه و چه پورت فوروارد هایی انجام میدی
( داخل پرانتز: حقیقت حس و حال خوندن کامند های میکروتیکی که نوشتی رو ندارم! توضیح بده!)

سلام

ممنونم از شما که وقت گزاشتید
سناریوی من دقیقا همون چیزی هست که فرمودید برای رفع مشکل هم میدونم باید با روت درست کنم ولی این روت نیاز به مارک روتینگ داره دیگه درسته؟مشکلم در نوشتن منگلی هست که بتونه مشکلم رو حل کنه
برای بررسی مشکل من این شکل فکر کنم به خوبی نشون بده چه کارهایی انجام دادم البته فقط یکی از مودم ها رو کشیدم:

[hexman]

باید با نوشتن Route درست این مشکل رو حل کنی !

نوشتن این روت رو بتونید بهم بگید گره بزرگی از کارم باز میشه

حالا باز اگه میخواید بیشتر توضیح بدم:

چون نیاز به ریموت زدن به 2 تا از سرورهای داخلی رو داریم از بیرون از پورتهای 33891 و 33892 استفاده میشه و در داخل میکروتیک با DSt nat فرستاده میشه روی پورت 3389 سرورهام.همین دیگه چیز خاصی نیست

[hexman]

برادر من منطق قضیه رو میگم دیگه مشکل رو خودت باید حل کنی



ظاهراً 2 تا اینترنت داری که لود بالانسینگ روش انجام شده


از بیرون طرف آی پی استاتیک یکی از اینترنت ها رو میزنه و میاد توی مودمت.
مودم هم میده به دست روتر
روتر هم میده دست سرور

یعنی یک درخواست اومده مثلاً از طرف 91.98.X.1
بعد درخواست رسیده دست سرور

وقتی سرور میخواد جواب رو برگردونه، به دلیل اینکه 91.98.X.1 رو نمیشناسه، میده دست دیفالت گیت وی
دیفالت گیت وی شما هم که روترت باشه این رو بالانس میکنه و به هر کی که دلش میخواد میده !!! که این غلطه !!

باید با نوشتن Route درست این مشکل رو حل کنی !



اگر بیشتر میخوای کمکت کنم،‌ دقیقاً باید بگی که چه کردی و سناریوت چیه و چه پورت فوروارد هایی انجام میدی
( داخل پرانتز: حقیقت حس و حال خوندن کامند های میکروتیکی که نوشتی رو ندارم! توضیح بده!)

برادر جان چی شد امید هست؟