Т.к. у меня есть связка для тестирования различного функционала (к примеру поднят работоспособный Exchange 2010 Rollup 32 + TLS 1.2 для домена @ekzorchikdom.ru) в целях повышения своей квалификации "Связываем Wireguard на Mikrotik 7.11.2 и VPS в Беларуссии", то хочу себе сделать еще одну заметку, а то уже не первый раз ломаю голову почему банальное правила проброс порта не работает. На самом деле оно работает, но с одним нюансом, который я если не так часто использую забываю.
В окружении за Mikrotik CHR создана виртуальная машина для проработки настройки SQL Server 2016 + SSL и вот чтобы к ней подключаться из вне при обращении по RDP указывая в качестве имени хоста: mstsc /v:mail.ekzorchikdom.ru:48001 нужно сделать следующее:
Шаг №1: На системе где установлена связка Windows Server 2016 Std + SQL Server 2016 (SQL Server 13.0.5850.14) и включено удаленное подключение по RDP (3389/tcp):
IP: 10.90.90.6
Шаг №2: На Wireguard сервере, это у меня VPS система в Беларуссии (VPS систему по тарифному плану "Микро") проверяю что через туннель вижу IP: 10.90.90.6
ekzorchik@mail:~$ ping 10.90.90.6 PING 10.90.90.6 (10.90.90.6) 56(84) bytes of data. 64 bytes from 10.90.90.6: icmp_seq=1 ttl=127 time=21.2 ms ^C --- 10.90.90.6 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 21.213/21.213/21.213/0.000 ms ekzorchik@mail:~$
создаю правило проброс порта:
ekzorchik@mail:~$ sudo firewall-cmd --zone=external --add-forward-port=port=48001:proto=tcp:toport=3389:toaddr=10.90.90.6 --permanent success ekzorchik@mail:~$ sudo firewall-cmd --reload
Шаг №3: Подключаюсь через Winbox к Mikrotik CHR и создаю правило маркировки трафика через wireguard туннель:
winbox - host:ip - user&pass - IP - Firewall — вкладка Mangle
вкладка General
Chain: preroutingSrc. Address: 10.90.90.6Dst. Address: ! 10.90.90.6
вкладка Action
Action: mark routingNew Routing Mark: wireguardPassthrough: галочку не ставлю
и нажимаю Apply, OK.
Шаг №4: Проверяю, что настроенное правило проброс порта работает:
mstsc /v:mail.ekzorchikdom.ru:48001
авторизуюсь
Username:Password:Domain:
и успешно подключаюсь к Windows Server 2016 Std где прорабатываю функционал и выход с этой системы в интернет идет также через WAN-IP VPS системы, а не через интернет за Mikrotik(ом).
Итого все было в забытом правиле на Mikrotik которое я для новой системы опять забыл. У меня как всегда, если я не задокумментировал, то по-сути забыл, а если задокумментировал, то помню, что и, как и в случае чего могу обратиться на свои блоги и решить поставленную задачу.
На этом у меня пока все, с уважением автор блога Олло Александр aka ekzorchik.