Показывать IP клиента NASу за NAT в Mikrotik, возможно?

Question

[rustik23]

Настраиваю NAS Synology, есть функция блокировки по IP при неудачных попытках, в том числе белые списки и т.д.
Имею белый IP адрес, потом Mikrotik и NAS.

Прокинул 80 и 443 порт + порт для работы Synology Drive.
Но по таким правилам все клиенты попадают в NAS от IP роутера (то есть типа изнутри).

Что-то можно придумать? Безопасное и красивое?
Настройки такие:

0    ;;;               
      chain=dstnat action=dst-nat to-addresses=192.168.23.5 protocol=tcp 
      in-interface=ether5 dst-port=443 log=no log-prefix="" 

 1    ;;;               
      chain=dstnat action=dst-nat to-addresses=192.168.23.5 protocol=tcp 
      in-interface=ether5 dst-port=80 log=no log-prefix="" 

 2    ;;;                             
      chain=srcnat action=src-nat to-addresses=192.168.23.1 protocol=tcp 
      src-address=192.168.23.0/24 dst-address=192.168.23.5 dst-port=80 log=no 
      log-prefix="" 

 3    ;;; cloud server 6699 -> 6690
      chain=dstnat action=dst-nat to-addresses=192.168.23.5 to-ports=6690 
      protocol=tcp in-interface=ether5 dst-port=6699 log=no log-prefix="" 

 4    chain=srcnat action=masquerade out-interface=ether5 log=no log-prefix="" 

 5    chain=srcnat action=masquerade dst-address=192.168.23.0/24 log=no 
      log-prefix=""

Comments

[rustik23]

5 правило лишние, выкл и все ок.

Answer 1

[Melkij]

Но по таким правилам все клиенты попадают в NAS от IP роутера (то есть типа изнутри).

Так а зачем вы делаете маскарад на входящий трафик?
https://help.mikrotik.com/docs/display/ROS/NAT

Answer 2

[Drno]

купить 2й IP у провайдера и настроить его напрямую на NAS