Leshiyart

на микроте создайте такой же влан, дхцп пусть так же он раздает в нем

впишите туда сеть офиса p.s. там действительно есть такая фраза - но что имелось ввиду не понятно, без этого не заработает

на домашнем в настройках вг сервера в разрешенных сетях у пира прописали удаленную сеть офиса?

тут два пути, либо указать как выше пишите чтоб вообще весь трафик камеры шел через туннель, либо нужен entware и правило snat (когда внешний запрос подменится на адрес тоннеля, штатно такое кины не умеют, за что им выговор)) p.s. фич реквест, добавить для проброски порта функцию snat

на 2 прописать маршрут от 3-го на 3ем от второго p.s. без указания шлюза, так же маршрут до лок адресов внутри л2тп

кто от этого в итоге выиграл? идея и решение мегастранное. Создали лишь лишнюю проблему пользователям

нет

алиас надо делать на Bridge0 (для домашней сети по умолчанию) no interface ISP ip alias 192.168.0.1/32 interface Bridge0 ip alias 192.168.0.1 255.255.255.0 ip nat 192.168.0.0 255.255.255.0 system configuration save

Проставить на основном роутере этим портам, что они входят в сегмент с влан сегментов

чтобы был доступ к клиенту надо - либо разрешить удаленный досутп по хттп в пользователи и доступ либо сменить security-level wg интерфейса на private

В консоль copy proc:/dual_image/boot_backup proc:/dual_image/boot_active copy proc:/dual_image/boot_current proc:/dual_image/boot_backup copy proc:/dual_image/boot_fails proc:/dual_image/commit system reboot

нужно получить сертификат на этот домен ip http ssl acme get router.mydomain.ru

нет, зачем. этот параметр не заблокирован и меняется на лету. доступ к другому сегменту настраивается уже в межсетевом экране

на вашем же скрине - доступ к сети (сегменту) p.s. в разрешенных подсетях не пиши бредятину (удали)

создать сегмент новый, сегменту назначить политику, серверу вг указать этот сегмент