Проброс порта через VPN между двумя роутерами

[konstantin.bashlaev]

Добрый день. Помогите пожалуйста настроить проброс портов через VPN, чтобы обращаясь к белому адресу первого роутера достучаться до компьютера другой сети за другим роутером (к примеру порт 41111)
Схема подключения добавлена.
Сейчас компьютеры видят друг друга через VPN.
IP таблица маршрутизации первого (Р1) роутера:
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 pppoe-out1 1
1 ADC GW_PROVIDE/32 WAN_IP pppoe-out1 0
2 ADC 172.16.30.2/32 172.16.30.1 l2tp-in1 0
3 A S 192.168.35.0/24 192.168.36.1 172.16.30.2 1
4 ADC 192.168.36.0/24 192.168.36.1 bridge 0​

IP таблица маршрутизации второго (Р2) роутера:
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 pppoe-out1 1
1 ADC GW_PROVIDE/32 100.0.3.233 pppoe-out1 0
2 ADC 172.16.30.1/32 172.16.30.2 l2tp-to-S 0
3 ADC 192.168.35.0/24 192.168.35.5 bridge 0
4 A S 192.168.36.0/24 192.168.35.5 172.16.30.1 1​

Смена дефолтного шлюза не вариант.
Помогите пожалуйста!

[Ca6ko]

компьютеры видят друг друга

На схеме только один, где же его друг?

Если сети уже видят "друг друга" то нужно просто делать проброс на микротике c белым адресом на IP компьютера

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment=Server1 dst-port=41111 in-interface=WAN protocol=tcp to-addresses=192.168.35.120

[konstantin.bashlaev]

компьютеры видят друг друга

На схеме только один, где же его друг?

Если сети уже видят "друг друга" то нужно просто делать проброс на микротике c белым адресом на IP компьютера

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment=Server1 dst-port=41111 in-interface=WAN protocol=tcp to-addresses=192.168.35.120

Имелось ввиду что из сети 192.168.35.0 видятся компьютеры из 192.168.36.0 в обе стороны

[konstantin.bashlaev]

Если сети уже видят "друг друга" то нужно просто делать проброс на микротике c белым адресом на IP компьютера

Добавил, пробовал зайти WAN:41111 (это у меня RDP порт), не получилось

[Ca6ko]

Как и откуда пробовал зайти?
Из локальной сети по внешнему IP? не получится нужно настроить Hairpin NAT сначала.
Нужно пробовать из вне, например с мобильной сети.

[konstantin.bashlaev]

Как и откуда пробовал зайти?
Из локальной сети по внешнему IP? не получится нужно настроить Hairpin NAT сначала.
Нужно пробовать из вне, например с мобильной сети.

Я пробовал зайти через интернет с мобильного usb модема
Собственно вбивал адрес БЕЛЫЙ_IP:41111 (в адресе RDP)

[Ca6ko]

Пробуйте правило выше поставить,
Счетчики на правиле тикают?
Всё должно работать. если с самого микротика пингуется сервер.

PS На самом Сервере порт изменен на 41111 или остался по умолчанию 3389?

[konstantin.bashlaev]

Пробуйте правило выше поставить,
Счетчики на правиле тикают?
Всё должно работать. если с самого микротика пингуется сервер.

PS На самом Сервере порт изменен на 41111 или остался по умолчанию 3389?

С самого микротика (с 192.168.36.1) пингуется 192.168.35.120
Правило выше поставил, без изменений (скрины делал до поднятия правил)

На втором микротике (192.168.35.5) не нужно ничего прописывать?

[konstantin.bashlaev]

Правил на втором роутере нет

[konstantin.bashlaev]

Те, что серые, это когда то работавшие пробросы, когда провайдер выдавал белый динамический адрес