Странная работа vpn

[Evgeny39rus]

Добрый день, первый раз столкнулся с оборудованием микротик, никак не могу понять в чем проблема.
Есть маршрутизатор Teleofis gtx 400, сделан на базе микротика, со стандартной прошивкой. Какое то время он успешно работал, но по стечению обстоятельств пришлось полностью скинуть настройки и с этого момента начались проблемы.
Задача желёзки следующая - она висит на столбе, в ней стоит sim карта с белым ip. К ней подключена ip камера, которая должна отдавать поток далее на видеосервер.
Пытался это реализовать двумя способами
1. Банальное открытие портов под камеру, сервер умеет забирать поток или через onvif или через rtps поток. Камера отдаёт поток через 80 порт. Но открытие только 80 порта не помогает, снифер говорит что попутно открывается еще сервисный порт в диапазоне 40000-50000 портов. Прокидывание этих портов так же ничего не дало.
2. Второй вариант, на который у меня изначально было больше надежды, это vpn от микротика на сервер организации.
Vpn поднялся, пинги в обе стороны тоже. Но из основной сети, я вижу только морду микротика, и все, на морду камеры уже не пускает, хотя пинги на неё идут.

Схема сети с vpn
Основная сеть
192.168.0.0/24
Сеть vpn 192.168.1.1/24,

Сеть микротика
192.168.10.0/24
Адрес клиента vpn 192.168.1.2

Маршрутизация в основной сети и сети клиента прописана и видимо работает, раз пинги ходят.
Но почему не работает все остальное я понять не могу. Подскажите, куда копать?
Настройки при необходимости выложу.

[Jukilo]

Включение proxy-arp на интерфейсе с камерой не помогает?
Маршруты правильно в обе стороны настроили?
В firewall нет загвоздок?
Старые правила с пробросом портов отключили?

[Evgeny39rus]

Включение proxy-arp на интерфейсе с камерой не помогает?
Маршруты правильно в обе стороны настроили?
В firewall нет загвоздок?
Старые правила с пробросом портов отключили?

1. Нет, proxy-arp ничего не меняет.
2. Маршрутизация, на мой взгляд, правильная, да там особо и вариантов нет
192.168.0.0 источник -> назначение 192.168.10.0 через интерфейс vpn, со стороны сервера. И зеркально со стороны клиента.
3. С firewall не уверен. Так как первый раз столкнулся с микротиком и не был готов что тут все на столько руками прописывать надо. Но по идее он должен влиять на внешнюю сеть, а vpn вроде как внутри.
4. Правила выключены.

[vqd]

ну если у вас пинги до камеры проходят то тут 2 вариант

1. вы что то намудрили в фаерволе
2. сама камера не работает

В практике сталкивался с китайскими камерами которые отказываелись по человечески работать в Л3, спасал src-nat в сторону камеры.

[Evgeny39rus]

С работы выложу правила фаервола.
Камеру предварительно проверял подключая её через локальную сеть, работает штатно, через onvif распознается без каких либо проблем.

[Jukilo]

Можешь просто все правила в /ip filte выключить и посмотреть заработает или нет. Если есть возможность, то покажи полный конфиг: export hide-sensitive так будет проще разобраться

[Evgeny39rus]

Конфиг роутера

 

MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 6.42.5 (c) 1999-2018 http://www.mikrotik.com/

[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments

[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options

/ Move up to base level
.. Move up one level
/command Use command at the base level

TTTTTTTT EEEEEE LL EEEEEE OOOO FFFFFF IIII SSSSS
TT EE LL EE OO OO FF II SS
TT EEEEEE LL EEEEEE OO OO FFFFFF II SSSSS
TT EE LL EE OO OO FF II SS
TT EEEEEE LLLLLL EEEEEE OOOO FF IIII SSSSS

Teleofis for MikroTik RouterOS 6.37 (c) 2004-2016 http://teleofis.ru/

[admin@TELEOFIS-GTX400] > export hide-sensitive
# jul/13/2018 11:26:36 by RouterOS 6.42.5
#
# model = 912UAG-2HPnD
# serial number = ********
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp comment=LAN
/interface l2tp-client
add connect-to=********* disabled=no name=l2tp-out1 user=****
/interface lte
set [ find ] comment="4G Internet" mac-address=DE:AD:BE:EF:00:00 name=lte1
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] apn=static.beeline.ru authentication=pap user=beeline
/ip pool
add name=dhcp ranges=192.168.13.100-192.168.13.150
/ip dhcp-server
add add-arp=yes address-pool=dhcp authoritative=after-2sec-delay bootp-lease-time=lease-time bootp-support=dynamic disabled=no interface=ether1 lease-time=3d name=\
dhcp-server1
/system logging action
set 1 disk-file-count=3
/interface list member
add interface=lte1 list=WAN
add list=LAN
/ip address
add address=192.168.13.1/24 comment=LAN interface=ether1 network=192.168.13.0
/ip dhcp-client
add comment="Get IP from LTE1" dhcp-options=hostname,clientid disabled=no interface=lte1 use-peer-ntp=no
/ip dhcp-server network
add address=192.168.13.0/24 comment="For LAN" dns-server=192.168.13.1,8.8.8.8 gateway=192.168.13.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=drop chain=input in-interface=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-out1
add action=masquerade chain=srcnat out-interface=lte1
/ip route
add distance=1 dst-address=192.168.12.0/24 gateway=l2tp-out1 pref-src=192.168.13.1
/ip service
set ssh disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=internal
add interface=lte1 type=external
/system clock
set time-zone-autodetect=no time-zone-name=Etc/GMT+2
/system identity
set name=TELEOFIS-GTX400
/system leds
set 0 interface=lte1 leds=user-led type=interface-transmit
add interface=lte1 leds=led5 modem-signal-treshold=-85 type=modem-signal
add interface=lte1 leds=led4 modem-signal-treshold=-90 type=modem-signal
add interface=lte1 leds=led3 modem-signal-treshold=-95 type=modem-signal
add interface=lte1 leds=led2 modem-signal-treshold=-100 type=modem-signal
add interface=lte1 leds=led1 modem-signal-treshold=-105 type=modem-signal
/system logging
set 0 action=disk prefix=INFO
set 1 action=disk prefix=ERR
set 2 action=disk prefix=WARN
set 3 action=disk prefix=CRIT
add disabled=yes prefix=DEB topics=debug
/system note
set note="\
\n TTTTTTTT EEEEEE LL EEEEEE OOOO FFFFFF IIII SSSSS\
\n TT EE LL EE OO OO FF II SS\
\n TT EEEEEE LL EEEEEE OO OO FFFFFF II SSSSS\
\n TT EE LL EE OO OO FF II SS\
\n TT EEEEEE LLLLLL EEEEEE OOOO FF IIII SSSSS\
\n\
\n Teleofis for MikroTik RouterOS 6.37 (c) 2004-2016 http://teleofis.ru/\
\n\
\n"
/system ntp client
set enabled=yes server-dns-names=ntp4.stratum2.ru,ntp3.stratum2.ru,ntp5.stratum1.ru,timeserver.ru
/system routerboard settings
set silent-boot=no
/system scheduler
add interval=10m name=ping_watchdog on-event=":global ITERATION 0;\
\n:global IP1 8.8.8.8;\
\n:global IP2 8.8.4.4;\
\n:log debug \"\";\
\n:log debug \"== START Script - ping_watchdog ==\";\
\n:while (true) do={\
\n :if ( [ :len [ /system resource usb find ] ] < 2 ) do={\
\n :log error \"Could Not Find Modem Card: - REBOOT\";\
\n /system reboot;\
\n :delay 1;\
\n }\
\n :if ( [ /interface lte find ] != \"\" ) do={\
\n :global PING1 [ /ping \$IP1 count=10 ];\
\n :if (\$PING1>0) do={\
\n :log info \"Ping 1 Watchdog: - OK.\";\
\n :set \$ITERATION 0;\
\n :log debug \"\";\
\n :quit;\
\n }\
\n :global PING2 [ /ping \$IP2 count=10 ];\
\n :if (\$PING2>0) do={\
\n :log info \"Ping 2 Watchdog: - OK.\";\
\n :set \$ITERATION 0;\
\n :log debug \"\";\
\n :quit;\
\n }\
\n :if (\$ITERATION<3) do={\
\n :log warning \"Could Not Ping: - RECONNECT\";\
\n :log debug \"\";\
\n /interface lte disable [ find name=lte1 ];\
\n :delay 3;\
\n /interface lte enable [ find name=lte1 ];\
\n :set \$ITERATION (\$ITERATION+1);\
\n :delay 60;\
\n } else={\
\n :log error \"Could Not Ping: - REBOOT\";\
\n :log debug \"\";\
\n /system reboot;\
\n :delay 1;\
\n }\
\n } else={\
\n :log error \"LTE Interface Not Found: - REBOOT\";\
\n :log debug \"\";\
\n /system reboot;\
\n :delay 1;\
\n }\
\n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=startup
add name=lte_kick_startup on-event=\
"/delay 10;\r\
\n:log debug \"lte1 kick down\";\r\
\n/interface lte disable lte1;\r\
\n/delay 5;\r\
\n:log debug \"lte1 kick up\";\r\
\n/interface lte enable lte1;\r\
\n:quit;" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=startup
[admin@TELEOFIS-GTX400] >

На данный момент ходят пинги, общие папки и прочее. Но поток с камеры по прежнему получить не могу. Так же не работает морда камеры, не срабатывают никакие кнопки на морде авторизации при входе через vpn, хотя тоже самое при входе локально, нормально отрабатывает.

[Evgeny39rus]

Проблема решена заменой порта камеры с 80 на другой. Но вопрос остаётся, почему микротик режет 80 порт.

[Vlad-2]

Проблема решена заменой порта камеры с 80 на другой. Но вопрос остаётся, почему микротик режет 80 порт.

А Вы на микротике 80й порт "освободили" ?
На 80 порту у микротика своя веб-админка, в Вашем конфиге я не увидел
чтобы www сервис микротика был отключён.

Возможно что из-за этого и были проблемы....

[Evgeny39rus]

А Вы на микротике 80й порт "освободили" ?
На 80 порту у микротика своя веб-админка, в Вашем конфиге я не увидел
чтобы www сервис микротика был отключён.

Возможно что из-за этого и были проблемы....

А как относится 80 порт устройства по адресу 192.168.0.1 к 80 порту устройства 192.168.0.3? Я же по ip не к микротику обращаюсь, зачем он перехватывает моё обращение? Тем более я не из интернета, а по сути из локальной сети, он в принципе не должен реагировать на моё обращение. Или тут какая то другая логика?