MiktoTik проброс порта в удаленную сеть через l2tp?

Question

[Raain]

Добрый день.

Столкнулся с казалось бы достаточно простым, но, как выяснилось не очень, вопросом, краткое описание задачи

Есть две локации, соединенные по vpn (l2tp+ipsec).
1-я точка (М) имеет внешний ip-адрес, 2-я точки (С) имеет серый адрес
Необходимо организовать проброс портов для доступа к регистратору видеонаблюдения, который расположен в сети С через внешний ip сети М

Я понимаю, что тема кажется избитой, перечитал кучу информации, но, однозначного понимания не образовалось, поэтому не получается настроить эту схему на качественном уровне, чтобы я мог понять физику процесса =)

В итоге хочу сделать так - ввожу в браузере внешний ип:порт роутера М и по vpn-у попадаю на регистратор сети С, например 1.1.1.1:33333

Какие настройки есть сейчас

Роутер М

Белый ip 1.1.1.1
vpn l2tp сервер 172.16.110.1
Внутренняя сеть 10.0.0.1/24
ip firewall nat для проброса порта
add action=dst-nat chain=dstnat dst-port=33333 in-interface-list=Wan protocol=\
tcp to-addresses=172.16.110.2
#Используется интерфейс лист, т.к. в роутер М подключено несколько провайдеров
add action=masquerade chain=srcnat dst-address-list=CamsS out-interface=\
L2tpS
#Сделал адрес лист для ограничения целей маскарадинга
ip route
add comment="Route to S" distance=1 dst-address=10.50.0.0/25 gateway=172.16.110.2
#Собсна маршрут в удаленную сеть
ip route rule
add dst-address=10.50.0.0/25 table=main
#на всякий случай всегда добавляю локальные сети в общую таблицу маршрутизации

Роутер С

Серый ip от провайдера
vpn l2tp клиент 172.16.110.2
Внутренняя сеть 10.50.0.0/25
ip route
add comment="Route to M" distance=1 dst-address=10.0.0.0/24 gateway=\
172.16.110.1
#Маршрут в обратную сторону
ip route rule
add dst-address=10.0.0.0/24 table=main
#добавление сети роутера М в таблицу маршрутизации
ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
#маскарадинг для всей сети
add action=dst-nat chain=dstnat in-interface=L2tp-M-VL protocol=tcp \
to-addresses=10.50.0.100 to-ports=80
#проброс порта до самого регистратора на 80-й порт

Маршрутизация между сетями есть, все работает, все открывается, показывает и т.п.
А вот по внешнему адресу бывают интересные истории, например, при вводе 1.1.1.1:33333 может запросить логин/пароль и после ввода "уйти в себя" т.е. ничего не происходит.

Прошу помочь разобраться с настройкой, чего не хватает, или вообще нужно сделать по-другому?

UPD

Нашел подходящие статьи, в которых описан мой случай:
https://mikrotik.me/blog-MulltiWan-access-to-via-V...
https://open-networks.ru/d/93-mikrotik-probros-por...

Но, ситуацию это не прояснило, а еще больше запутало..

Все еще рассчитываю на помощь и советы по настройке =)

Comments

[Drno]

так раз у Вас несколько провайдеров, вместо WAN листа укажите в destination проброса - нужный внешний IP

[MaxKozlov]

Вы уверены что у вас трафик между сетями должен NATиться ? в том числе и камер.
роутинг же.

[Raain]

Drno,
Так пробовал, ровным счетом ничего не изменилось

[Raain]

MaxKozlov,
Не уверен, поэтому и спрашиваю =)

[MaxKozlov]

По идее ваш нат для камеры должен выглядеть как

add action=dst-nat chain=dstnat dst-port=33333 in-interface-list=Wan protocol=\
tcp to-addresses=10.50.0.100 to-ports=80

(если 10.50.0.100 это камера)
А как идти к 10.50.0.100 - решает роутинг

[Raain]

MaxKozlov,
А он (nat) точно нужен?

[Raain]

MaxKozlov,

add action=dst-nat chain=dstnat dst-port=33333 in-interface-list=Wan protocol=\
tcp to-addresses=10.50.0.100 to-ports=80

Попробовал так, не работает, подозреваю потому, что хост 10.50.0.100 отвечает по дефолтному шлюзу 10.50.0.1, а не обратно в туннель? Или я совсем запутался?

[MaxKozlov]

dst-nat на М нужен, чтобы ваша камера думала, что запрос идёт от

Роутер М
Внутренняя сеть 10.0.0.1/24

чтобы ответ шёл в туннель у вас по идее есть

ip route
add comment="Route to S" distance=1 dst-address=10.50.0.0/25 gateway=172.16.110.2
#и
ip route
add comment="Route to M" distance=1 dst-address=10.0.0.0/24 gateway=\
172.16.110.1

Логирование пакетиков включите и посмотрите, доходит ли что-то куда-то

[MaxKozlov]

кстати, прямо с М можно через /tool fetch проверить доступность камеры вообще оттуда.

[Raain]

MaxKozlov,
Мысль интересная, еще бы знать как это делать =)
Решение с разбега типа /tool fetch address=10.50.0.110 понятное дело не дало результата..
Можете подсказать пример команды?

[Raain]

Drno,
Так пробовал, тоже не помогло

[MaxKozlov]

Raain, простейший пример - /tool fetch url=http://ya.ru
должно давать

status: failed
failure: closing connection: <302 Found "https://ya.ru/"> 87.250.250.242:80 (4)

Проверьте на своём урле к страничке - типа http://10.50.0.110
/ping address=10.50.0.110 хотя бы работает ?
если нет - значит с роутингом не всё в порядке

[Raain]

MaxKozlov,

/ping address=10.50.0.110 хотя бы работает ?

Конечно, я же писал, чтобы между сетями роутера М и С все ходит без проблем, есть проблема только с внешним доступом

[MaxKozlov]

Raain, тогда надо убедиться что fetch таки тоде работает. Иначе таки что-то не то. Возможно, firewall. Смотрите пакеты

Answer 1

[hint000]

Сначала совет. Чтобы не создавать путаницу, надо сначала настроить всю маршрутизацию; проверить, что действительно никаких косяков с маршрутизацией не осталось; после этого переходить к настройке NAT.

Теперь по существу.

add action=masquerade chain=srcnat dst-address-list=CamsS out-interface=\
L2tpS

А что у нас входит в CamsS?
172.16.110.2 туда входит? Ведь мы пробросили порт именно на 172.16.110.2. Другой вопрос, а зачем нужно пробрасывать порт на двух роутерах, если можно пробросить только на одном? Сразу на адрес регистратора.
Вот вам и два варианта исправления на выбор.

Comments

[Raain]

Я по Вашему совету и действую, т.е. вначале настроил маршрутизацию, внутри все работает, а задача проброса появилась несколько позже.

В CamS входит адрес регистратора и для проверки добавлял ip адреса самих камер
Адрес 172.16.110.2 не входит в этот список

Проброс на двух роутерах делал в качестве эксперимента, руководствовался примерно такой логикой:

Проброс идет на роутере М на адрес vpn клиента 172.16.110.2 далее на роутер С приходит по туннелю на L2tp-M-VL интерфейс (к которому сделал биндинг) подключение и далее уже на нужный ip из сети 10.50.0.0/25

[hint000]

Raain,

В CamS входит адрес регистратора и для проверки добавлял ip адреса самих камер
Адрес 172.16.110.2 не входит в этот список

Вот и я о том же. Т.е. правило, содержащее этот список адресов, никогда не применяется. Потому что роутер M шлёт пакеты на адрес роутера C, и ничего не шлёт на адреса регистратора или камер.

[Raain]

hint000,
Спасибо за советы, а можете по существу проблемы дать такую же подсказку, т.е. что и как нужно сделать под мою задачу, чтобы у меня хотя бы логика правильная была, потому что сейчас полный раздрай в голове..

[hint000]

Raain, попробуйте изменить это правило

add action=masquerade chain=srcnat dst-address-list=CamsS out-interface=L2tpS

вот так:

add action=masquerade chain=srcnat dst-address=172.16.110.2 out-interface=L2tpS

(при условии, что других изменений нет)

[Raain]

hint000,
Если до этого трафик попадал в это правило (счетчик пакетов увеличивался), то теперь стоит по нулям, что-то совсем пошло не так..

Давайте попробуем разобраться, правильно ли я понял, что надо сделать так:

Роутер М
ip firewall nat>

add action=dst-nat chain=dstnat dst-port=33333 in-interface-list=Wan protocol=tcp to-addresses=172.16.110.2
add action=masquerade chain=srcnat dst-address=172.16.110.2 out-interface=L2tpS

Роутер С полагаю пока что трогать бессмысленно, т.к. трафик к нему по туннелю не идет?

[hint000]

Raain, да, вы поняли правильно.
а forward весь разрешен? не рубится часть трафика firewall'ом?

теперь стоит по нулям

И при этом поступают запросы на белый адрес на порт 33333?

[Raain]

hint000,

И при этом поступают запросы на белый адрес на порт 33333?

Да

а forward весь разрешен? не рубится часть трафика firewall'ом?

На время тестирования все правила выключаю

[MaxKozlov]

Raain, Если вы выключаете все правила forward, то врятли это верно

[Raain]

MaxKozlov,

Если вы выключаете все правила forward, то врятли это верно

Наоборот, в этом случае разрешен трафик из серии все везде