Взято вот туть:
https://forum.mikrotik.com/viewtopic.php?f=9&t=134358#/interface sstp-server server set certificate=vpn.company.com.crt_0 enabled=yes port=10443
# добавим в список sstp-conn пакеты пришедшие на порт 443 для tls-host
# добавим в список sstp-conn пакеты пришедшие на порт 443 для tls-host
/ip firewall mangle add \
action=add-src-to-address-list \
address-list=sstp-conn \
address-list-timeout=5s \
address-list-timeout=5s \
chain=prerouting \
dst-address-type=local \
dst-address-type=local \
dst-port=443 \
#отправим все пакеты заменим порт назначения 443 на порт 10443 в пакетах пришедших с адресов из списка sstp-vpn
/ip firewall nat add \
/ip firewall nat add \
action=dst-nat \
chain=dstnat \
dst-address-type=local \
dst-port=443 \
dst-port=443 \
protocol=tcp \
src-address-list=sstp-conn \
to-ports=10443
# правило для публикации веб сервера
to-ports=10443
# правило для публикации веб сервера
/ip firewall nat add \
action=dst-nat \chain=dstnat \
dst-address-type=local \
dst-port=80,443 \
dst-port=80,443 \
protocol=tcp \
to-addresses=192.168.88.2
# чтобы наше правило в таблице mangle работало каждый раз, надо модифицировать fasttrack
# чтобы наше правило в таблице mangle работало каждый раз, надо модифицировать fasttrack
# отключим fasttrack для пакетов идущих на адрес 443 (правило должно быть выше в списке чем правило fasttrack
/ip firewall filter add chain=forward dst-port=443 connection-state=established,related
# или будем fasttrack только те соединения которые уже набрали хотя бы 10 килобайт, тогда надо заменить правло с fasttrack
# или будем fasttrack только те соединения которые уже набрали хотя бы 10 килобайт, тогда надо заменить правло с fasttrack
/ip firewall filter add action=fasttrack-connection chain=forward connection-bytes=10240-0 connection-state=established,related
Ратнер Арсений, arsenyratner@gmail.com, 7 985 273 2090
Комментариев нет:
Отправить комментарий