Добрый день, уважаемые форумчане!
Столкнулся с небольшой проблемкой (непониманием)
Имеем два маршрутизатора - Mikrotik (СЕТЬ1, рассматриваемый) и Zyxel (СЕТЬ2)
На Микротике организован L2TP сервер с IPSec, к которому подключается Zyxel, все работает без проблем, маршруты настроены.
Появилась задача, дать доступ к камерам, находящимся в СЕТЬ2 (Zyxel), используя внешний IP СЕТЬ1 (Mikrotik)
Было сделано как описано тут -
https://toster.ru/q/416676 (dst-nat + masquerade)
НО, все это работает при выключенных правилах фаервола, как только включаю, запросы до СЕТЬ2 не доходят.
Подскажите, что нужно добавить в правила, чтобы пакеты долетали до СЕТЬ2?
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291 in-interface=br1-lan protocol=tcp src-address=192.168.59.0/24
add action=accept chain=input connection-mark=allow_in connection-state=new dst-port=80,51413 in-interface=eth1-wan protocol=tcp
add action=accept chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.59.0/24
add action=accept chain=input comment=l2tp in-interface=eth1-wan port=1701,500,4500 protocol=udp
add action=accept chain=input comment=l2tp in-interface=eth1-wan protocol=ipsec-esp
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward in-interface=all-ppp out-interface=br1-lan
add action=accept chain=forward in-interface=br1-lan out-interface=all-ppp
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=eth1-wan src-address=192.168.59.0/24
add action=accept chain=forward connection-state=established,related in-interface=eth1-wan out-interface=br1-lan
add action=drop chain=input log-prefix="[a]"
add action=drop chain=output
add action=drop chain=forward log-prefix=--forvarw
/ip firewall mangle
add action=set-priority chain=forward layer7-protocol=skype new-priority=7 passthrough=yes
add action=mark-connection chain=prerouting connection-state=new dst-port=8080,6683 new-connection-mark=allow_in passthrough=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan src-address=192.168.59.0/24
add action=dst-nat chain=dstnat dst-port=51413 in-interface=eth1-wan log=yes log-prefix="[dst-nat]" protocol=tcp to-addresses=192.168.59.145 to-ports=\
8888
add action=redirect chain=dstnat dst-port=8080 protocol=tcp to-ports=80
add action=masquerade chain=srcnat dst-address=192.168.59.145 dst-port=8888 log=yes log-prefix="[mas]" protocol=tcp src-address=!192.168.59.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.188 dst-port=38800 protocol=tcp src-address=!192.168.59.0/24
add action=dst-nat chain=dstnat disabled=yes dst-port=38800 in-interface=eth1-wan log=yes protocol=tcp to-addresses=192.168.1.188 to-ports=3880