Как получить удаленный доступ к видеорегистртароу через USB модем?

Question

[Ferz27]

Имеется vpn-сервер с белым ip, роутер ASUS RT-N14U (прошивка padavan) с USB модемом и видеорегистратор. Роутер подключается к интернету > подключается к VPN-серверу. VPN сервер (82.х.х.х) дает внутренний адрес 192.168.0.100, с сервера открыт порт 27100 к клиенту (т.е. к 27100 порту клиента VPN можно подключиться через 82.х.х.х:27100). Когда вместо роутера подключаюсь к VPN через компьютер то к этому компьютеру из интернета доступ есть (проверял на vnc подключении). При создании подключения к VPN на роутере и включив dmz к видеорегистратору доступа нет. Нужен совет как сделать правильное перенаправление трафика на IP видеорегистратора. К сожалению VPN-клиента на самом регистраторе нет.
IP адреса:
сервер внешний (белый) IP 82.146.х.х
сервер внутренний IP 192.168.0.1
USB-модем 192.168.1.1
роутер 192.168.2.1
роутер (подключенный VPN) 192.168.0.100
видеорегистратор 192.168.2.20

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         192.168.0.1     128.0.0.0       UG    0      0        0 ppp5
default         192.168.1.1     0.0.0.0         UG    1      0        0 weth0
82.146.х.х      192.168.1.1     255.255.255.255 UGH   0      0        0 weth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
128.0.0.0       192.168.0.1     128.0.0.0       UG    0      0        0 ppp5
192.168.0.0     192.168.0.1     255.255.255.0   UG    0      0        0 ppp5
192.168.0.1     *               255.255.255.255 UH    0      0        0 ppp5
192.168.1.0     *               255.255.255.0   U     0      0        0 weth0
192.168.2.0     *               255.255.255.0   U     0      0        0 br0


Port Forwards List
----------------------------------------
Source             Proto  Port Range  Redirect to     Local port
ALL                TCP    80          192.168.2.20    27100      
ALL                !ICMP              192.168.2.20

Answer 1

[Леонид]

У вас трафик между подсетями проходит? Можно ли с внешнего сервера подключиться к регистратору или хотя бы с внутреннего? Также надо открыть порты в роутере для регистратора, те которые последний использует. Сделать проброс портов.
По ощущениям вы перемудрили. Нарисуйте структуру вашей сети.

Answer 2

[Ferz27]

Нужно было пробросить порт 27100 из 192.168.0.100 на 192.168.2.20 и разрешить FORWARD из одной сети в другую. Только после того как разрешил FORWARD в iptables трафик пошел, хотя явных блокировок трафика не было видно

Comments

[Леонид]

А можно для общего образования: как вы определяете блокировку трафика, тем более между подсетями?

[Ferz27]

Леонид: С маршрутизацией работал впервые, почитал рекомендации и вывел все правила iptables. Как я понял если есть drop то блокирует если нет или accept тогда блокировки нет. Еще смотрел вывод tcpdump

[Леонид]

Принято, хотя и мудрено.

Answer 3

[Daemon23RUS]

У регистратора установлен шлюз по умолчанию 192.168.2.1 - ?

Comments

[Ferz27]

Да, шлюз 192.168.2.1

[Daemon23RUS]

Ferz27:

ALL                TCP    80          192.168.2.20    27100

А это куда маппинг ?
У Вас должны быть прописаны маршруты, есть 2 варианта, либо нативно роутить пакеты к/из подсети 192.168.2.х либо настроить 2й портмаппинг на роутере в подсеть 192.168.2.100:xxx

[Ferz27]

это я тестил в пробросом с 80 порта. А какой командой мапить?

[Daemon23RUS]

Ferz27: Вам надо на роутере добавит маппинг порта

ALL                TCP    27100         192.168.2.100    27100

т.е в итоге у Вас должно выйти так:
входящее соеденение к серверу внешний (белый) IP 82.146.х.х:27100 мапится на 192.168.0.100:27100
на роутере срабатывает 2й маппинг на 192.168.2.100:27100