R1 :
Статический WAN IP - 1.1.1.1 получаем от провайдера.
LAN-Bridge - 192.168.88.0/24 IP=192.168.88.1
LAN Pool 192.168.88.5-192.168.88.29
R2:
WAN IP динамический
LAN-Bridge - 192.168.88.0/24 IP=192.168.88.2
LAN Pool 192.168.88.30-192.168.88.59
Между роутерами поднят OpenVPN и поверх него поднят EoIP, интерфейсы которого засунуты в LAN-Bridge
В Bridge Filter заблокированы исходящие DHCP запросы через интерфейсы EoIP (forward). DHCP-Server у каждого роутра свой но подсеть одна.
Так вот, я пытаюсь достучаться до R2 и устройств в его подсети(192.168.88.30-192.168.88.59) через статический адрес роутера R1 откуда-то из интернета (например с работы) простым пробросом порта (dst-nat)
Сейчас у меня это работает через маркировку по определенным портам и маскарадинг по данной маркировке обратно в LAN-Bridge
Это связано с тем, что делая без маркировки dst-nat на R1 запрос уходит к R2 и его устройствам, но возвращается уже через дефолтный маршрут R2, т.е. не туда откуда он пришел.
Пробовал делать второй дефолтный маршрут 0.0.0.0/0 через 192.168.88.1 с rout-mark
Впрочем загвоздка начинается в Mangle. В принципе достаточно одного правила prerouting на входящем интерфейсе LAN-Bridge
Но что-то мне подсказывает, что это не правильно. Должен быть другой путь.
Можно ли сделать возврат соединения на самом R2 используя Mangle и Route?
Какие лучше будет прописать правила?
Схема
![Изображение](https://1.downloader.disk.yandex.ru/preview/a3b313ffe8ac7024ff84cca6c296dad5d6a22ebef3cde5786732cca56ffadbc4/inf/-ckZyVsMApwquNo3O3d3IMAUItzGWOENjEC9S2qvuXAoQYhfZmXQ5OgKTYZHAobC4M8MYWamxL5c_JhSPUMeLw%3D%3D?uid=173448509&filename=index.jpg&disposition=inline&hash=&limit=0&content_type=image%2Fjpeg&tknv=v2&size=1280x843)