我在这种设置方面有一点经验,所以请耐心等待。我认为这个问题有点基础。
我必须在 LAN 中安装路由器,因为稍后我必须让它处理 VPN 隧道。简而言之,我必须从这个出发:
< 公共 IP > [DSL 调制解调器] <192.168.1.1> ------ <192.168.1.0> [一堆服务器]
对此:
< 公共 IP > [DSL 调制解调器] <192.168.0.1> --- <192.168.0.2> [Mikrotik Routerboard] <192.168.1.1> --- <192.168.1.0> [一堆服务器]
我使用 DSL 调制解调器接口(邮件、rdp、ssh 等)对需要转发到服务器的服务进行了 NAT。现在有了新的设置,我真的很困惑我应该如何进行。
有 2 个 NAT“跃点”是否明智?DSL 调制解调器将所有服务请求从 WAN 转发到 192.168.0.2(再次使用 NAT 接口),然后再次将它们转发到服务器(从路由器)?NAT 是否以这种方式工作?有没有另一种更聪明的方法来解决这个问题?
不知道您使用的是什么 DSL 调制解调器,但您可能最好让该 DSL 调制解调器在桥接模式下工作,并使您的 MikroTik 路由器作为面向 WAN 和 LAN 端的普通 WAN 路由器工作。这样您就不会遇到 VPN 问题,能够根据需要转发流量并设置良好的防火墙。这是非常典型且良好的设置。这就是我要做的。
如果您对 DSL 调制解调器没有足够的控制,那么当然可以进行链式 NAT,将所有内容转发到 MT 路由器,或者按照 Benoit 的建议设置 DMZ 功能。这样你仍然可以建立 VPN 隧道,但只能作为客户端。
您描述的场景有效,您可以毫无问题地“链接 NAT”,例如 [公共 IP]:58000 -> 由 192.168.0.2:58000 上的 DSL 调制解调器进行 NAT -> 192.168.1.55:80 上由 mikrotik 进行 NAT
或者您可以使用调制解调器上的“DMZ”功能将所有传入端口重定向到 192.168.0.2 并仅在 Mikrotik 上执行 NAT。
或者,您可以将 DSL 调制解调器设置为桥接模式(如果可以的话),这样所有传入的连接都会直接发送(桥接)到 Mikrotik 路由器,该路由器将执行 NAT。
如果需要,您可以使用双 NAT,但您会发现购买内置 DSL 调制解调器的路由器更容易。
您还可以让当前的调制解调器仅用作调制解调器,并使用 PPPoE 之类的方式将连接桥接到新路由器。
如果你绝对不能改变你的设置,那么它会起作用,但如果你必须转发任何东西,这将是一件麻烦事。如果您将调制解调器外部接口上的端口 25 (SMTP) 转发到 mikrotik 路由器外部接口 (192.168.0.2),您还需要将 mikrotik 路由器外部接口上的端口 25 转发到 LAN 上的内部资源. 你基本上每件事都会做两次。
假设您的公共 ip 是 1.1.1.1 并且您想将 SMTP 流量从 DSL 调制解调器转发到 LAN 上位于 192.168.1.5 的电子邮件服务器,它看起来如下所示:
1.1.1.1:25[DSL 调制解调器] -> 192.168.0.2:25[Mikrotik 路由器] -> 192.168.1.5:25[电子邮件服务器]
只要您在隧道的两端都有 NAT-T 并且另一端有没有 NAT 的静态 IP,VPN 隧道应该没问题。您可以将您的一侧设置为动态,并且仅让它启动连接