Mikrotik проброс порта через L2tp как правильно сделать?
Mikrotik 1 -белый IP. На нем L2tp сервер.
Mikrotik 2 - серый IP, он l2tp Client 1го Mikrotika. В его локалке Видео регистратор, и Ip камеры.
Между M1 и M2 также поднят EOIP тунель.
Из локальной сети Mikrotik 1 есть доступ в локальную сеть Mikrotik 2 и наоборот Winbox из любой локалки видит оба роутера, SADPTool и ConfigTool видят все камеры и регистратор.
Задача - Используя Белый IP mikrotik 1 попадать на регистратор за mikrotik 2.
Добавлены правила в NAT
chain=srcnat out-interface=all-ppp add action=masquerade
add action=dst-nat chain=dstnat dst-port=37777 in-interface-list=WAN log=yes protocol=tcp to-addresses=192.168.88.200 to-ports=37777
Подключится из интернета к регистратору не могу. в логе -dstnat: in:ether1 out:(unknown 0), src-mac 00:04:96:cf:0e:a6, proto TCP (SYN), 46.133.148.103:38851->БЕЛЫЙ IP:37777 len 60
Не могу разобраться в чем проблема.
Помогите пожалуйста!
Я так понял, что 192.168.88.200 - это адрес регистратора на Mikrotik2?
Тогда у Вас получается следующее...
Ваш запрос приходит на адрес регистратора, а вот ответ от регистратора уходит по дефолтному маршруту, который прописан на Mikrotik2!!! Т.е. пакет - invalid!!!
Я бы сделал следующее:
- на Mikrotik2 промаркировал пакеты, которые уходят от регистратора
- Добавил маршрут на Mikrotik2: на 0.0.0.0/0 через vpn (к Mikrotik1) ТОЛЬКО для промаркированных выше пакетов
Ну наверное как то так...
Не соглашусь. правило chain=srcnat out-interface=all-ppp add action=masquerade должно установить входящему пакету адрес источника, соответствующий ppp-интерфейсу Mikrotik1. А поскольку автор утверждает, что из сети Mikrotik1 регистратор видно, то с маршрутизацией порядок. Ответный пакет от регистратора должен прийти на Mikrotik1, т.к. регистратор видел во входящем пакете адрес Mikrotik1.
На месте автора я бы сделал две вещи.
1. начал бы с более очевидного порта 80 на регистраторе, а не с 37777. Когда добился бы дступности web-морды, тогда переходил бы к другим портам.
2. для отладки включил бы Torch или Packet Sniffer на Mikrotik2. Для начала надо увидеть, доходят ли туда исходные запросы. Если доходят, то отвечает ли регистратор.
hint000, Адресом источника является не Mikrotik1, а в данном случае 178.133.56.7 - по этому регистратор и будет отвечать ему!!! А дальше я уже описывал...
Адресом источника является не Mikrotik1, а в данном случае 178.133.56.7
значит masquerade не срабатывает. А поскольку не срабатывает, значит правило неверно написано.
5d144, уверены, что интерфейс попадает сюда?: out-interface=all-ppp больше вроде и негде ошибиться.
Да и чёрт с ним, с интерфейсом, можно так:
chain=srcnat action=masquerade dst-address=192.168..88.200
hint000, "Да и чёрт с ним, с интерфейсом, можно так:
chain=srcnat action=masquerade dst-address=192.168..88.200" так не работает. С таким правилом Вообще нет никаких соединений . С таким
add action=masquerade chain=srcnat out-interface="l2tp-in " есть но Те же соединениякак на скрине.
Простой
Сложный
