Маршрутизация между сегментами l2tp/ipsec и проброс портов

[adstudio]

Доброго дня, прошу корифеев помочь разобраться в изъезженной теме (искал по форуму, но на именно такой кейс не наткнулся), а все попытки решить руками и методом "тыка" не привели к успеху.

Вопрос первый:

Структура сети такова (все роутеры свежие на прошивке 5.1 Beta 0.3):

1) Giga WAN на белом IP как l2tp/ipsec сервер (без NAT)
дом 192.168.1.0

2) Giant (WAN на сером IP удаленный) 
дом 192.168.10.0 l2tp/ipsec 172.16.2.10

3) Gant (WAN на сером IP удаленный)
дом 192.168.30.0 l2tp/ipsec 172.16.2.30

На 1 прописаны два маршрута до подсетей клиентов через их локальные адреса VPN 
192.168.10/24 172.16.2.10 any
192.168.30/24 172.16.2.30 any

Файрволлы:
На 1 для дома permit all IPV4
у 2 и 3 permit all IPV4 как для дома так и для VPN

Работает, имею двусторонний доступ от 1 к 2 и 1 к 3

Необходим двусторонний доступ 2 к 3. Как сделать?

Обмазывал маршрутами (как шлюз пробовал и 192.168.1.1 и VPN адреса) никак не выходит.

И вопрос второй, уверен многим может быть полезным.

Пробрасываю порт с 1 на один хост (это камера отдает поток) в подсети 2 (на 1 делаю проброс напрямую internet 192.168.10.116 TCP 10554 554)
и снаружи при подключении из интернета эта конструкция не работает, пока не пропишешь на 2 маршрут через интерфейс VPN до IP адреса хоста с которого пытаешься подключиться. Но подключаюсь то я с телефона, адреса в динамике, то есть не напрописываешься руками.

Можно ли как-то иметь возможность подключаться с любого IP?

Подмогните, пожалуйста, неопытному советами да ответами!

[Илья Картавенко]

Почитайте.

https://support.keenetic.ru/viva/kn-1910/ru/45472.html#45472-объединение-более-двух-сетей--используя-vpn-сервер-на-keenetic

https://support.keenetic.ru/viva/kn-1910/ru/21241.html#21241-маршрутизация-сетей-через-vpn

 

[Leshiyart]

20 минут назад, adstudio сказал:

На 1 прописаны два маршрута до подсетей клиентов через их локальные адреса VPN 
192.168.10/24 172.16.2.10 any
192.168.30/24 172.16.2.30 any

на 2 прописать маршрут от 3-го
на 3ем от второго

p.s. без указания шлюза, так же маршрут до лок адресов внутри л2тп

Изменено 16 часов назад пользователем Leshiyart

[adstudio]

Категорически благодарен всем причастным за наводку! Сделал, все работает, как часы.

А касаемо доп. вопроса есть ли какое-то мнение, мануал от кинетика читал, там нижеуказанное ручное решение:
 

Quote

И вопрос второй, уверен многим может быть полезным.

Пробрасываю порт с 1 на один хост (это камера отдает поток) в подсети 2 (на 1 делаю проброс напрямую internet 192.168.10.116 TCP 10554 554)
и снаружи при подключении из интернета эта конструкция не работает, пока не пропишешь на 2 маршрут через интерфейс VPN до IP адреса хоста с которого пытаешься подключиться. Но подключаюсь то я с телефона, адреса в динамике, то есть не напрописываешься руками.

Можно ли как-то иметь возможность подключаться с любого IP?

 

Изменено 16 часов назад пользователем adstudio

[Илья Картавенко]

2 минуты назад, adstudio сказал:

Категорически благодарен всем причастным за наводку! Сделал, все работает, как часы.

А касаемо доп. вопроса есть ли какое-то мнение, мануал от кинетика читал, там нижеуказанное ручное решение:
 

 

https://support.keenetic.ru/viva/kn-1910/ru/16055.html#16055-доступ-из-интернета-к-ip-камере--подключенной-к-интернет-центру

https://support.keenetic.ru/viva/kn-1910/ru/15748.html#15748-переадресация-портов

[Leshiyart]

8 минут назад, adstudio сказал:

Можно ли как-то иметь возможность подключаться с любого IP?

тут два пути, либо указать как выше пишите чтоб вообще весь трафик камеры шел через туннель, либо нужен entware и правило snat (когда внешний запрос подменится на адрес тоннеля, штатно такое кины не умеют, за что им выговор))
p.s. фич реквест, добавить для проброски порта функцию snat

Изменено 16 часов назад пользователем Leshiyart

[adstudio]

Еще раз благодарность знатокам. И тут прямо, очевидно, ФИЧ РЕКВЕСТ, громким голосом :)). 
Централизованные "видеонаблюденщики" примут с радость, уверен.