Помощь настройки Микротик с Кинетик wifi

[st3rling]

Здравствуйте. Только начинаю работать с Микротиками.
Схема такая.
Есть Микротик служащий основным шлюзом и подключен к интернет провайдеру.
К Микротику подключен wifi Keenetic роутер и к нему уже конечные пользователи.
На Микротике развернут DHCP сервер через который Keenetic получает IP.
На Keenetic также есть DHCP который раздает IP wifi клиентам.
Все вроде работает, клиенты выходят в интернет но с Микротика я не могу пинговать ни сам Keenetic ни конечных wifi клиентов.

Конфигурация такая:
Микротик Ether1 = Интернет
Микротик Bridge (ether2, 3, 4, 5) = LAN (192.168.2.0/24)
DHCP привязан к Bridge интерфейсу
Keenetic подключен через WAN порт к порту Ether2 на Микротике. На WAN порту Keenetic включен DHCP клиент, соответственно Keenetic получает 192.168.2.254 IP
DHCP сервер на Keenetic раздает wifi клиентам из 192.168.1.0/24 пула.
И вот тут проблема, что я не могу видеть ни 192.168.2.254 ни клиентов из 192.168.1.0/24 сети. А надо к примеру сделать подключению к веб серверу 192.168.1.100 из интернета.
Что нужно сделать в Firewall rules на Mikrotik? NAT? (Стандартный masquerade srcnat конечно же есть).
Заранее благодарю за любые советы, подсказки!

[xvo]

Перевести кинетик в режим моста/точки доступа.

Если нужна именно отдельная сеть за кинетиком - отключить на нем NAT, firewall.
На микротике нужен будет только маршрут до сети за кинетиком, все остальное делается на кинетике.

[st3rling]

Понял, спасибо! 
А сейчас доступ к Кинетику никак не получить?
Я настроил Wireguard на Микротике и вроде как сделал разрешающее правило в firewall rules с wireguard сети 10.1.1.0/24 до 192.168.2.0/24 но все равно не могу зайти на Кинетик 192.168.2.254 хотя он напрямую к Микротику подключен. Или надо еще какой-то NAT сделать?Спасибо!

[xvo]

Снаружи?

dst-nat правило на микротике, которое будет пробрасывать что-то на адрес кинетика.
Что именно - это вопрос к кинетику, вероятно 80 или 443 порт.

Если доступ не снаружи, а через VPN (Wireguad), то тут много вариантов - начиная от того, что неправильно настроен сам wireguard (есть ли доступ на другие хосты сети 192.168.2.0.24?), заканчивая тем, что неправильно настроен кинетик (есть ли на него вообще доступ не из его сети?).

[gmx]

Там на кинетеке все запрещено со стороны wan порта. Как ни открывай на микротике порты, как ни пробрасывай, надо ещё и кинетик настраивать. При такой схеме сети, пробросте на микротике все порты на кинетик. Что-то вроде dmz будет. И дальше рулите все на кинетике.
А доступ к кинетику ещё можно получить через приложение. Там много можно настроить, но не все. Через приложение будет работать и без прброса портов... А ещё на кинетике можно кеенднс настроить и разрешить к нему доступ по этому имени (при условии проброса портов на микротике или dmz).

Можно, как и посоветовали выше настроить кинетик как точку доступа, но большая часть функционала кинетика будет недоступна.