Mikrotik, проброс портов через ovpn..?

Question

[defalt]

на даче стоит видеорегистратор, он воткнут в роутер asus wl500gp с прошивкой tomatousb, роутер ходит в интернет через 3г модем
задача в общем то попадать на этот видеорегистратор..
раньше все рашалось через ovpn туннель между 2 роутерами asus wl500gp с прошивкой tomatousb и пробросом портов, и собственно все работало
сейчас роутер с белым ип был поменян на mikrotik rb750
ovpn был настроен - работает, из локалки микротика без проблем попадаю на регистратор (192.168.1.242)..
а вот пробросить порты (чтоб заходить из интернетов) не получается

/ip firewall filter
add chain=input comment="to ovpn" dst-port=1194 in-interface=ether1-gateway protocol=tcp
add chain=forward dst-port=8000 in-interface=ether1-gateway protocol=tcp
add chain=forward dst-port=9000 in-interface=ether1-gateway protocol=tcp

/ip firewall nat
add action=netmap chain=dstnat comment=dvr dst-port=8000 in-interface=ether1-gateway protocol=tcp to-addresses=\
    192.168.1.242 to-ports=8000
add action=netmap chain=dstnat comment=dvr dst-port=9000 in-interface=ether1-gateway protocol=tcp to-addresses=\
    192.168.1.242 to-ports=9000

Comments

[MrJeos]

OpenVPN сервер прям на микротике поднят?

[defalt]

MrJeos: да

[MrJeos]

defalt: немного не по вопросу, но на микротике openvpn работает так себе. Лучше какой-нибудь другой VPN протокол использовать.

Answer 1

[MrJeos]

Проблема в том, что видеосервер отвечает не через туннель, а через свой шлюз по умолчанию.
Чтобы решить эту проблему нужно правильно настроить маскарадинг.

/ip firewall nat
add chain=srcnat out-interface=*vpn_interface* protocol=tcp dst-port=8000 action=masquerade
add chain=srcnat out-interface=*vpn_interface* protocol=tcp dst-port=9000 action=masquerade
add chain=dstnat protocol=tcp dst-port=8000 in-interface=ether1-gateway action=dst-nat to-addresses=192.168.1.242
add chain=dstnat protocol=tcp dst-port=9000 in-interface=ether1-gateway action=dst-nat to-addresses=192.168.1.242

Так же необходимо, чтобы были настроены маршруты на микротике к сети 192.168.1.0/24 через туннель.

Answer 2

[Diman89]

у меня VPN настроен для себя (телефон/планшет) + коллега с работы, которого я к локальным ресурсам не пускаю. у него тоже 3G с серой динамикой
суммарно так:

/ppp secret
add name=* password=* profile=pptp_vpn_profile service=pptp
add name=* password=* profile=pptp_vpn_profile service=pptp
add name=* password=* profile=zats service=pptp local-address=192.168.3.1 remote-address=192.168.3.222
/ip firewall nat
add action=masquerade chain=srcnat comment=zats_nat log-prefix=NAT_zats out-interface=PPTP_zats
add action=dst-nat chain=dstnat comment=port_forwarding_fot_zats dst-port=61000-61010 protocol=tcp to-addresses=192.168.3.222 to-ports=61000-61010

PPTP_zats не динамический, 192.168.3.0/24 используется только для VPN (у него локалка 192.168.1.0/24, у меня - 192.168.0.0/24)

Comments

[defalt]

сделав так, у меня получилось пробросить порт к роутеру с той стороны (раньше не получалось), но к регистратору не получается.. при этом, я теперь из локалки микротика потерял прямой доступ к регистратору..