Mikrotik, проброс порта через VPN, с доступом из LAN 1, LAN 2 и WAN?

Question

[b_alex]

К MikroTik LAN1 с "белым IP" установлен туннель PPTP "site-to-site" от MikroTik LAN2
Нужен доступ к сервису_IP_LAN2:порт по внешнему адресу MikroTik-1 из любой сети: из LAN1, LAN2 и снаружи.
Если доступ из сети LAN1 или LAN2 то сервис доступен.
Проблема в доступе из WAN.



настройка MK1
/ppp secret
add local-address=172.16.1.1 name=user password=*** remote-address=172.16.1.2 routes=\
"192.168.20.0/24 172.16.1.2 1" service=pptp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
add action=dst-nat chain=dstnat dst-port=8088 in-interface=ether1 \
protocol=tcp to-addresses=192.160.20.20 to-ports=8080
add action=dst-nat chain=dstnat dst-address-type=local dst-port=8088 in-interface=bridge \
protocol=tcp to-addresses=192.168.20.20 to-ports=8080
add action=masquerade chain=srcnat dst-address=192.168.20.20 dst-port=8080 protocol=tcp \
src-address=192.168.10.0/24

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 1.1.1.1 0
1 ADC 1.1.1.0/24 1.1.1.1 ether1 0
2 ADC 172.16.1.2/32 172.16.1.1 0
3 ADC 192.168.10.0/24 192.168.10.1 bridge 0
4 ADS 192.168.20.0/24 172.16.1.2 1

настройка MK2
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=lte1
add action=dst-nat chain=dstnat dst-port=8088 in-interface=pptp-out1 protocol=tcp to-addresses=\
192.168.20.20 to-ports=8080
add action=dst-nat chain=dstnat dst-port=8088 in-interface=bridge protocol=tcp to-addresses=192.168.20.20 to-ports=8080
add action=masquerade chain=srcnat dst-address=192.168.20.20 dst-port=8080 protocol=tcp src-address=192.168.20.0/24

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.8.1 1
1 ADC 172.16.1.1/32 172.16.1.2 pptp-out1 0
2 ADC 192.168.8.0/24 192.168.8.100 lte1 0
3 A S 192.168.10.0/24 pptp-out1 1
4 ADC 192.168.20.0/24 192.168.20.1 bridge 0

Гуглил VPN site-to-site, Hairpin_NAT.
Подскажите, в чем ошибка?

Answer 1

[Wexter]

на mk2 пропишите дефолт шлюзом mk1 с роут маркой mk1
в mangle маркируйте весь трафик приходящий на mk2 от mk1 и вешайте роут метку mk1

Comments

[b_alex]

mikrotik2
/ip route
add distance=1 gateway=172.16.1.1 routing-mark=mk1

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=172.16.1.2 new-routing-mark=mk1 passthrough=yes src-address=172.16.1.1

Толи лыжи не едут, толи я....

Answer 2

[Александр Романов]

На mk2 переделайте дст-нат, указав не ин-интерфейс, а дст-адрес=1.1.1.1. Этого должно быть достаточно

Comments

[b_alex]

адрес 1.1.1.1 не постоянный, обращение идет имя_роутера:порт

[123459]

b_alex: "адрес 1.1.1.1 не постоянный" используйте virtual hop Как понять процесс работы failover на mikrotik с двумя WAN?

[b_alex]

123459: адрес 1.1.1.1 не постоянный, меняется на произвольный ("белый") провайдером раз в сутки, обращение к сервису идет через постоянное ddns_имя:порт.
узнавать этот адрес от MK1 с MK2 могу через скрипт, но общая схема выглядит как набор костылей.
неужели это правильное направление решения текущей задачи?

[Александр Романов]

b_alex: Возможно, что для корректной работы Вам придётся на мк1 сделать сорс-нат для траффика, который уходит в туннель. Попробуйте следующее:

1. Сначала создайте биндинг для ппп, чтобы интерфейс не был динамический при подключении:
/interface pptp-server
add name=pptp-in1 user=user

2. Теперь делаем срц-нат на этот интерфейс:
add action=masquerade chain=srcnat dst-port=8080 out-interface=ppp-in1 protocol=tcp dst-address=192.168.20.20