Проброс портов на микротиках с Публичного IP на камеры через L2TP. почему не идет проброс?

Question

[Александр]

Есть 2 микротика. 2 разные точки. Одна с публичным IP и вторая с серым IP.
1 точка. Офис 192.168.1.0/24. В нат есть правило chain=dstnat action=netmap to-addresses=192.168.20.250 protocol=tcp in-interface=ether1 dst-port=37777,80 log=yes log-prefix=""
2 точка. Офис 192.168.20.0/24 стоит ресивер 192.168.20.250

VPN для теста поднят на L2TP. Далее думал на OVPN пересадить, но пока для теста так.

Между микротиками пинг идет на подсети и видно всё между сетями. Но вот если я хочу попасть извне то на втором микротике в connections вижу SYN-RECEIVED. Со своего телефона.
По логам я вижу firewall,info dstnat: in:ether1 out:(unknown 0), src-mac yy:yy:yy:yy:yy:yy, proto TCP (SYN), A.A.A.A:45513->X.X.X.X:80, len 40

Я так понимаю что ответа от второй точки ответ не приходит. Я не особо понимаю почему.

Микротики RB951. Версии 6,47,1 и 6,47,7.

Comments

[sipgsm]

Удалось решить проблему. У меня такая же задача и не могу победить!

Answer 1

[Wexter]

Потому что трафик обратно у вас идёт по дефолтному маршруту офиса 2, а это провайдер офиса 2.
Либо делайте src-nat для трафика идущего к 192.168.20.250 на роутере в офисе 1, либо делайте PBR на роутере офиса 2, чтобы весь трафик приходящий через впн уходил обратно в впн

Comments

[Александр]

Буду пробовать с pbr. Надо почитать как это делается. Спасибо за наводку.

Answer 2

[3a4yI7aTiY]

Маркировка коннектов в мангл, чтоб трафик шел туда откуда пришел

Answer 3

[Gregory]

mikrotik-ukraine.blogspot.com/2016/11/vpn-mikrotik.html

Comments

[sipgsm]

Делал как в этом мане, непомогло

[Ms7]

Опишите пожалуйста правило маркировки пакетов для этой статьи. Все расписано кроме маркировки.

[Gregory]

вы про это?

Для того, что-бы сервер видеонаблюдения отвечал в нужный нам интерфейс, завернем весь его трафик в VPN:

/ip route
add distance=1 gateway=172.16.7.1 routing-mark=dvr

Вторым правилом завернем трафик нашего сервера в этот маршрут:

/ip route rule
add action=lookup-only-in-table src-address=192.168.1.3/32 table=dvr

покажите свой конфиг

[sipgsm]

/ip route
add distance=1 gateway=172.16.7.1 routing-mark=dvr
/ip route rule
add action=lookup-only-in-table src-address=192.168.1.3/32 table=dvr

Я так понимаю это на стороне клиента нужно делать, где собственно и находится тот самый сервер dvr с внутренним адресом 192.168.1.3?

[Gregory]

да

Answer 4

[sipgsm]

Сможет ли ктото показать со скринами как пробросить порт через VPN, что то у самого не получается. Тупик какой-то/

Comments

[Александр]

add action=mark-connection chain=input in-interface=l2tp-out new-connection-mark=VPN-conn passthrough=yes
add action=mark-routing chain=output connection-mark=VPN-conn new-routing-mark=VPN-route passthrough=no
add action=mark-connection chain=forward in-interface=l2tp-out new-connection-mark=VPN-conn-f passthrough=no
add action=mark-routing chain=prerouting connection-mark=VPN-conn-f in-interface=bridge new-routing-mark=VPN-route 




add distance=1 gateway=10.10.10.1 routing-mark=VPN-route

Примерно так, это с клиента. Со стороны сервера ВПН - Аналогичное. Только конечно поправить нужно названия интерфейса и роут. Так же на сервере сделал маскарад на интерфейс впна с src айпи на нужный ресивер.

[sipgsm]

Александр, Спасибо что откликнулись. Было бы супер если бы еще со стороны сервера привели бы настройки.

Answer 5

[sirota]

Ovpn? Microtik? Они научились udp? Пока не научатся - нет смысла. L2tp + ipsec.

Comments

[3a4yI7aTiY]

Ну если стоят 2микрота можно и ipip использовать, по поводу ipsec производительность страдает без аппаратной поддержки
mikrotik.vetriks.ru/wiki/VPN:IPIP