Доступ к устройству из локалки по внешнему адресу

[sarge]

Здравствуйте,
Есть видеорегистратор с адресом 192.168.88.100, который смотрят снаружи по внешнему IP(XX.XXX.XX.XX) и порту 8000.
Но когда клиент заходит в локальную сеть, доступ теряется. Никто же не будет(хочет), постоянно менять в программе просмотра адрес на локальный..
Пояснения, что в локальной сети, надо ставить локальный адрес устройства - не принимаются, ибо роутером там был раньше зюхель и все работало!
Пробовал завернуть трафик на локальном интерфейсе, результата нет.
Подскажите, это вообще возможно?

Конфигурация:
# oct/11/2020 16:51:08 by RouterOS 6.46.3
# software id = 8ZGZ-RIKD
#
# model = RB750Gr3
/ip firewall filter
add action=accept chain=forward comment="Default configuration" connection-state=established,related
add action=accept chain=input comment="Permit ICMP" protocol=icmp
add action=accept chain=input comment="Winbox access" dst-port=8219 protocol=tcp
add action=accept chain=input comment="VPN connect PPTP" dst-port=1723 protocol=tcp
add action=accept chain=input log=yes protocol=gre
add action=accept chain=input comment="VPN connect L2TP" dst-port=1701 protocol=udp
add action=accept chain=input comment="Video access" dst-port=8000,80,81,554 protocol=tcp
add action=accept chain=input comment="Permit established connection" connection-state=established,related,untracked
add action=accept chain=input comment="Permit related connection" connection-state=related
add action=drop chain=input comment="Disable invalid connections" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="drop all from WAN" disabled=yes in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=internet
add action=netmap chain=dstnat comment="video registrator" dst-address=XX.XXX.XX.XX dst-port=8000,80,81,554 in-interface=internet protocol=tcp to-addresses=192.168.88.100
add action=dst-nat chain=dstnat comment="video registrator (local)" dst-address=XX.XXX.XX.XX dst-port=8000,80,81,554 in-interface=bridge-local protocol=tcp to-addresses=192.168.88.100
add action=netmap chain=dstnat comment="video registrator" disabled=yes dst-address=XX.XXX.XX.XX dst-port=8001 in-interface=internet protocol=tcp to-addresses=192.168.88.100 to-ports=8000

[xvo]

Варианты:
1) Hairpin NAT.
2) Split DNS.
3) Или выносить в отдельную подсеть.

[sarge]

xvo, огромное спасибо!
Первый вариант 1) Hairpin NAT. - самое оно, остальные не подходят.
Но, не работает

Вот как выглядит сейчас:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=internet
add action=dst-nat chain=dstnat comment="video registrator" dst-address=XX.XXX.XX.XX dst-port=8000,80,81,554 in-interface=internet protocol=tcp to-addresses=192.168.88.100
add action=src-nat chain=srcnat dst-address=192.168.88.100 dst-port=8000 protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.1

И не телнетится зараза изнутри на XX.XXX.XX.XX 8000 порт
Где ошибка может быть?

[xvo]

Где ошибка может быть?

in-interface=internet

[sarge]

"in-interface=internet"

Да в общем-то правильно там все:
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=internet password=xxxxxx use-peer-dns=yes user=xxxxxxx

Все, понял, его надо тупо убрать.
Благодарю за Ваш ответ и преклоняюсь перед Вашим опытом

[Ca6ko]

https://lantorg.com/article/kak-zajti-p ... a-mikrotik
Метод с 3мя правилами всегда работает с регистраторами.