Как подключить один ip в удаленной сети к VPN через mikrotik?

Question

[Ефим Федоров]

Имеется две сети, назовем их «главная» и «вторая»
На главной сети поднят корп l2tp. Во воторой сети есть регистратор видеонаблюдения.
Задача подцепить конкретно этот регистратор к vpn, дабы иметь возможность смотреть камеры из главной сети.
В идеале чтоб регистратор использовал локальный интернет, но в то же время имел свой ip в главной сети

Answer 1

[TheBigBear]

"имел свой ip в главной сети" - не понимаю зачем?
Доступ к регистратору можно получить двумя способами
1. Если "вторая сеть" имеет внешний IP - элементарное правило NAT. Чтобы не выпускать регистратор во всю сеть Интернет - указать Src Address "главной сети"
2. На роутере "второй сети" поднять l2tp клиента, прописать в IP Routes маршруты. Если не хотите видеть всю "вторую сеть" пропишите только адрес IP регистратора вместо 0/24

Comments

[Drno]

Собственно согласен

Answer 2

[Ефим Федоров]

TheBigBear да, у второй сети белый ip, подскажите пожалуйста какое, правило.
И я так понимаю надо будет порт прокинуть?

Comments

[TheBigBear]

На втором микротике
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp src-address=Внешний_IP_первой_Сети to-addresses=IP_регистратора

в первой сети доступ к регистратору по внешнему IP второй сети
При желании можете сменить порт
Это первый способ - доступ минуя VPN канал (трафик от регистратора не шифруется). Если параноите - используйте второй способ

[Ефим Федоров]

настроил правило, подключиться не удалось.
проверил пингуется ли внешний ip второй сети, пинга нет

можно рассмотреть второй вариант, но важно чтобы трафик второй сети шел не через VPN, т.к. канал на главной сетке грустный

[TheBigBear]

Ефим Федоров, А на втором роутере пинги разрешены? Что за провайдер? (некоторые блокируют входящие в личном кабинете. Например Ринет, Дом.ру - см. фото из личного кабинета)

Такое правило есть во втором роутере?
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

опубликуйте какое правило Вы на втором роутере написали в NAT

По второму варианту: Если в клиенте галочку Add Default Route не поставите - интернет через VPN не пойдет