PPTP VPN сервер и проброс порта из инета на роутер VPN-клиент

[vlzsilver]

Добрый день.

Имеется 2 домашние сети.

Кинетик-1 - Keenetic Omni (белый) 192.168.1.1 - имеет белый адрес в инет, является VPN-сервером

Кинетик-2 - Keenetic 4G II 192.168.4.1 - работает через 4G модем и, соответственно, серый ИП, клиент VPN сервера

В обеих сетях есть камеры видеонаблюдения, подключенный к видеорегистраторам

VPN поднят без проблем, сети кинетик-1 и кинетик-2 видят друг друга

Кинетик-1 "видит" видеорегистратор за Кинетик-2

starting traceroute to 192.168.4.10...
traceroute to 192.168.4.10 (192.168.4.10), 30 hops maximum, 84 byte packets.
1 172.16.1.34 (172.16.1.34) 109.737 ms 105.432 ms 106.078 ms
2 192.168.4.10 (192.168.4.10) 100.769 ms 89.940 ms 109.204 ms

Кинетик-2 "видит" Кинетик-1 и устройства за ним

sending ICMP ECHO request to 192.168.1.11...
PING 192.168.1.11 (192.168.1.11) 0 (28) bytes of data.
28 bytes from 192.168.1.11: icmp_req=1, ttl=63

 

Из инета Кинетик-1 без проблем прокидывается порт на видеорегистратор в сети Кинетк-1 и всё отлично работает

Но надо чтобы из инета Кинетик-1 был проброшен порт на видеоригистратор (192.168.4.10) в сети Кинетика-2

А вот тут начинаются проблемы:

Делал проброс порта на 172.16.1.34 (Кинетик-2, IP ВПН клиента, полученный от Кинетик-1). Не проходит

Пробрасывал и на 192.168.4.10, не проходит.

Что нужно сделать, чтобы заработал проброс от провайдера Кинетика-1 к VPN-клиенту (Кинетик-2) ? Такое ощущение, что есть какое то ограничение в таком пробросе.

До этого подобная система работала, только VPN сервером был Linux сервер и у обоих кинетиков были серые адреса. Хотелось бы избавиться от лишнего узла (Linux сервера) в этой цепочке

 

Спасибо за возможные ответы :)

[Кинетиковод]

Нужно делать двойной проброс. На сервере на адрес 172.16.1.34, а на Кинетик 2 с интерфейса PPTP на адрес 192.168.4.10.

[vlzsilver]

24 минуты назад, Кинетиковод сказал:

Нужно делать двойной проброс. На сервере на адрес 172.16.1.34, а на Кинетик 2 с интерфейса PPTP на адрес 192.168.4.10.

пробовал, не работает

именно таким вариантом и планировалось сделать изначально, т.к. такая схема работает с linux сервером

Так же пробовал

(config)> ip static tcp L2TP0 34570 172.16.1.34 34572
Network::StaticNat: Static NAT rule has been altered.
(config)> ip static udp L2TP0 34570 172.16.1.34 34572
Network::StaticNat: Static NAT rule has been altered.
(config)>

Через тестилку открытых портов из инета порт на видеорегистратор кинетика-1 показывает открытым, а вот проброшенный на кинетик-2 закрытым
 

Изменено 27 сентября, 2019 пользователем vlzsilver

[Кинетиковод]

Двойной проброс вроде работает только если на клиенте PPTP основное соединение. Если так совсем нежелательно, то теоретически можно было бы вынести видеорегистратор  в отдельный профиль доступа и назначить только для него PPTP основным подключением. Тогда бы он скорее всего стал недоступен через VPN, но был бы доступен с внешки. Данный казус возможно и можно было бы как-то решить, но для 4G II это неактульно, т.к. свежее ПО для него недоступно.

Посему предлагаю пустить весь 4G трафик через PPTP сервер. Если 4G II работает только для регистраторов, то проблемы вообще нет, а если за ним живая сеть, то решать вам.

 

[vlzsilver]

7 минут назад, Кинетиковод сказал:

Двойной проброс вроде работает только если на клиенте PPTP основное соединение.

я ж говорю. при работе линукс сервера в виде pptp сервера все работает и двойной проброс тоже. Здесь похоже на то, что кинетик-1 не хочет пускать траффик