Ситуация такая. Есть головной офис, есть филиал. В филиале расположен видеорегистратор.
Между ним поднят VPN PPTP.
И там, и там есть белый IP.
Задача получить доступ к видеорегистратору и через белый IP филиала, и через проброшенный порт с головного офиса.
Адреса в голове 192.168.0.0/24
Адреса в филиале 192.168.1.0/24
VPN подсеть 172.16.1.1
С головного офиса порт через VPN пробросил таким правилами.
В голове
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=172.16.1.26 protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-address-list="" dst-port=28810 log=no log-prefix=""
Код: Выделить всё
add action=dst-nat chain=dstnat dst-port=28800 in-interface=ppp-out1 protocol=tcp to-addresses=192.168.1.64 to-ports=8000
add action=dst-nat chain=dstnat dst-address=172.16.1.26 dst-port=28810 protocol=tcp to-addresses=192.168.1.64 to-ports=8000
Код: Выделить всё
/ip route add distance=1 gateway=172.16.1.1 routing-mark=cameraVPN
Код: Выделить всё
/ip route rule add disabled=yes src-address=192.168.1.64/32 table=cameraVPN
Отключаю правило маркировки, естественно, начинает работать напрямую через филиал и отваливается через головной офис.
Как правильно создать правило маркировки, чтобы работали оба варианта одновременно?
Интуитивно я понимаю, что маркировать надо только те пакеты, которые пришли на регистратор из VPN тоннеля и только их заворачивать обратно в тоннель, а те которые пришли с внешнего интерфейса не маркировать, и они уйдут обратно в WAN (PPP-out1) интерфейс. Но как это сделать что-то не пойму никак...