+ Responder ao Tópico



  1. #1

    Padrão VNC com mikrotik

    Galera, hj mi deparei com um problema que eu acho que muito ja enfretaram e alguns solucionaram, um determinada empresa tem que da manutenção do software de um cliente meu, e quer se conectar via vnc.

    Pois bem quebrei a cabeça hj, e vo continua quebrando pra acha uma solução ja tenho em mente o que fazer, mais na pratica e outra coisa,

    minha topologia aqui e seguinte, link -> linux, com firewall, squid e dns ->mk -> cliente

    no linux criei um regra para liberar a porta 5901, que e a que eles usam, e fiz um redirecionamento do meu ip fixo do link, para o mk essa regra abaixo

    iptables -t nat -A PREROUTING -p tcp -i $if_internet --dport $porta_vnc -j DNAT --to $ip_mikrotik
    iptables -t nat -A POSTROUTING -d $ip_mikrotik -j SNAT --to $ip_local

    so que o que pego foi no mk, como que eu vo fazer pra redirecionar as conexões e ainda obter os retornos, fiz um scr-nat, mandando a porta do vnc para o mk, e informando o ip e a porta que vem a conexão, mais num deu mem sinal.

    Ou alguem tem outra solução mais viavel, pq to vendo que aqui esse vai ser o primeiro de muitos.

  2. #2

    Padrão

    Citação Postado originalmente por renanphp Ver Post
    Galera, hj mi deparei com um problema que eu acho que muito ja enfretaram e alguns solucionaram, um determinada empresa tem que da manutenção do software de um cliente meu, e quer se conectar via vnc.

    Pois bem quebrei a cabeça hj, e vo continua quebrando pra acha uma solução ja tenho em mente o que fazer, mais na pratica e outra coisa,

    minha topologia aqui e seguinte, link -> linux, com firewall, squid e dns ->mk -> cliente

    no linux criei um regra para liberar a porta 5901, que e a que eles usam, e fiz um redirecionamento do meu ip fixo do link, para o mk essa regra abaixo

    iptables -t nat -A PREROUTING -p tcp -i $if_internet --dport $porta_vnc -j DNAT --to $ip_mikrotik
    iptables -t nat -A POSTROUTING -d $ip_mikrotik -j SNAT --to $ip_local

    so que o que pego foi no mk, como que eu vo fazer pra redirecionar as conexões e ainda obter os retornos, fiz um scr-nat, mandando a porta do vnc para o mk, e informando o ip e a porta que vem a conexão, mais num deu mem sinal.

    Ou alguem tem outra solução mais viavel, pq to vendo que aqui esse vai ser o primeiro de muitos.

    Bom dia,
    nao sei se entendi bem, o cliente (host do vnc) está atrás do MK?

    se os pacotes estao sendo corretamente redirecionados para o MK passando pelo: link -> linux, com firewall, squid e dns ->mk e chegando na interface wan do MK na porta 5901 adicione a seguinte regra:

    /ip firewall nat add chain=dstnat protocol=tcp dst-port=5901 action=dst-nat to-addresses=ip_do_cliente to-ports=5901

    Espero essa regra ajude.
    Abraços.



  3. #3

    Padrão

    Ai que ta, o cliente não precisaria dessas regras todas, o problema e que o server esta depois do mk, tentei essa mesma regra ai que vc posto, so que com o ip do linux, no linux eu sei que os redirecionamentos estão corretos, pq eu tirei o mk e teste ele direto no linux e deu certo.

  4. #4

    Padrão

    Citação Postado originalmente por renanphp Ver Post
    Ai que ta, o cliente não precisaria dessas regras todas, o problema e que o server esta depois do mk, tentei essa mesma regra ai que vc posto, so que com o ip do linux, no linux eu sei que os redirecionamentos estão corretos, pq eu tirei o mk e teste ele direto no linux e deu certo.
    O Linux está fazendo o redirecionamento para qual IP?
    para o IP do MK ou para o IP do cliente?

    Acho que está havendo um engano, o IP do linux não entra nessas regras. As origens devem ser ignoradas, afinal, redirecionamento de portas é um DSTNAT e nao um SRCNAT.

    Por favor, poste todas as regras que estão no linux com IPs e portas.

    Abraços
    Última edição por RinaldoVaz; 01-05-2009 às 00:24.



  5. #5

    Padrão talvez sirva

    Quando começa a ficar dificil com o vnc apelo para o www.logmein.com, nesse não precisa de redirecionamento de portas.

  6. #6

    Padrão

    iptables -t nat -A PREROUTING -p tcp -i $eth0 --dport $5900 -j DNAT --to $10.200.150.1
    iptables -t nat -A POSTROUTING -d $10.200.150.11 -j SNAT --to $10.200.150.1

    aonde o ip do cliente depois d mk, seria 10.10.0.6 e 10.200.150.1 o gw da rede

    essa regra ao meu ver esta certa pois, encaminha os pacotes da porta do vnc para o mk, e faz um retorno do mk pra internet, o problema e como um implementaria a mesma regra acima no mk



  7. #7

    Padrão

    Citação Postado originalmente por renanphp Ver Post
    iptables -t nat -A PREROUTING -p tcp -i $eth0 --dport $5900 -j DNAT --to $10.200.150.1
    iptables -t nat -A POSTROUTING -d $10.200.150.11 -j SNAT --to $10.200.150.1

    aonde o ip do cliente depois d mk, seria 10.10.0.6 e 10.200.150.1 o gw da rede

    essa regra ao meu ver esta certa pois, encaminha os pacotes da porta do vnc para o mk, e faz um retorno do mk pra internet, o problema e como um implementaria a mesma regra acima no mk
    Ao meu ver, essas regras não estão corretas.

    Não devem ser aplicadas regras de SNAT nem no linux e nem no mikrotik.

    *no seu primeiro post você usou a posta 5901, como mudou a porta para 5900 nesse outro post vou entender que a porta válida é 5900

    Não entendendo bem os comandos do iptables, por isso vou modificar o IP destino assumindo que o resto desse comando está correto:

    iptables -t nat -A PREROUTING -p tcp -i $eth0 --dport $5900 -j DNAT --to $IP´DO´MIKROTIK

    *o Linux deve fazer o redirecionamento para o Mikrotik.

    /ip firewall nat add chain=dstnat protocol=tcp dst-port=5900 action=dst-nat to-addresses=10.10.0.6 to-ports=5900

    *sem regras de SNAT.

    Abraços

  8. #8

    Padrão

    Nosso amigo Rinaldo está correto, deve ser utilizado um DSTNAT.