Mikrotik, проброс порта через VPN PPTP Client?

Question

[Андрей]

Доброго времени суток. Уже сутки не могу настроить проброс портов из VPN соединение на локальный адрес видеорегистратора.
Что имеем Mikrotik RB951UI в вставлен Мегафон модем (в режиме Hikink) и поверх интернета подключен VPN PPTP соединение Hidme с выделенным IP.

/ip route

0 A S 0.0.0.0/0 hidme 1
1 ADS 0.0.0.0/0 10.121.192.1 0
2 ADC 10.121.192.1/32 10.123.9.119 hidme 0
3 ADS 91.105.238.11/32 192.168.199.1 0
4 ADC 192.168.100.0/24 192.168.100.1 bridge1 0
5 ADC 192.168.199.0/24 192.168.199.2 ether1 0

/ip firewall nat

0 chain=dstnat action=netmap to-addresses=192.168.100.253 to-ports=8085 protocol=tcp in-interface=hidme dst-port=8085 log=no log-prefix=""

1 chain=srcnat action=masquerade out-interface=hidme log=no log-prefix=""

/ip firewall mangle

0 D chain=forward action=change-mss new-mss=1410 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1411-65535 log=no log-prefix=""

1 D chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1361-65535 log=no log-prefix=""

2 chain=prerouting action=mark-routing new-routing-mark=hidme_vpn passthrough=yes protocol=tcp dst-address=192.168.100.253 dst-port=8085 log=no log-prefix=""

3 chain=output action=mark-routing new-routing-mark=hidme_vpn passthrough=yes protocol=tcp src-address=192.168.100.0/24 src-port=8085 log=no log-prefix=""

Фильтр ваервола пуст. Пытаюсь пробросить 8085 порт TCP. Когда захожу в IP - Service - WWW и меняю порт на 8085 то в админку роутера я попадаю через VPN Hidme - значит на стороне Hidme все работает четко.
Интернет работает через ВПН сайты открываются все ОК но вот зайти с этого внешнего IP на компьютер с адресом 192.168.100.253 не получается. Весь гугл перечитал.

Answer 1

[Клёвый Админ]

В dnat юзайте не dst адрес, а in имя интерфейса и вроде всё.

Comments

[Андрей]

Простите, а можно по подробней я не совсем Вас понял?

[Клёвый Админ]

MrKatarsis: в NAT первое правило нужно изменить, первое изменение Action = D-NAT, второе - убрать dst.addr, третье добавить In port - указать порт VPN hideme

[Александр Романов]

Евгений Быченко: очень интересно, как вы в экшне dst-nat собираетесь убрать dst-address, и как, по-Вашему, это будет работать?

[Клёвый Админ]

Александр: такс =) ну во первых я не правильно посмотрели и в правиле исходнике его и нет, а во-вторых вы путаете dst.add и to-addresses, по-внимательнее.

[Александр Романов]

Евгений Быченко: Сорри )

Answer 2

[Кирилл Васильев]

chain=dstnat action=netmap to-addresses=192.168.100.253 to-ports=8085 protocol=tcp in-interface=hidme dst port=8085

это неправильно так как action=netmap используется для сетей и не для адреса используйте dstnat

chain=prerouting action=mark-routing new-routing-mark=hidme_vpn passthrough=yes protocol=tcp dst-address=192.168.100.253 dst-port=8085 
chain=output action=mark-routing new-routing-mark=hidme_vpn passthrough=yes protocol=tcp src-address=192.168.100.0/24 src-port=8085

вы можете сами себе объяснить зачем вы маркируете трафик и что вы здесь делаете, потому что данные правила смахивает на ритуал экзорцизма =))) извините

я бы вам объяснил как надо делать, если бы вы разобрались для начало вот в этом

Answer 3

[Александр Романов]

Согласен с предыдущим отвечающим. Мангл ни к чему. Нетмап заменить на dst-nat и почистить мангл. Если порт мапится на такой же, то в to-ports его можно не указывать. Таким образом:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.100.253 protocol=tcp in-interface=hidme dst-port=8085

должно прекрасно работать. На всякий случай учтите, что в фаерволе этот трафик попадёт в цепочку forward, а не в input, не порежьте его. И Packet flow diagram надо знать.

Answer 4

[alegzz]

в видеорегистраторе шлюз по-умолчанию прописан?