Помогите правильно настроить FireWall и NAT в Mikrotike

[dak_khv]

Здравствуйте форумчане. Я сразу говорю, что я только начинающий настройщик микротиков, всегда настраивал обычные домашние роутеры. В корпорациях не работал, только маленькие офисы, где не требуется особо мощных устройств, но я стремлюсь и пытаюсь познавать, так что сильно не ругайтесь. В общем ситуация такая. У меня на компе настроено подключение к VPN-сервер IKEv2/IPsec, который находится в другом городе, сделано для удаленной помощи хорошим людям. Сервер настроен на Keenetic Extra (KN-1710). У меня ранее стоял роутер Asus RT-AX56U и через него все отлично подключалось, клиента настроен на Windows 10. Но вот недавно вместо Asus поставил Mikrotik hEX S. Потому что асус начал барахлить, ну и интересно было разобраться с микротом.Получилось настроить выход в интернет, настроить проброс портов, но вот с VPN не могу разобраться, я понимаю не хватает знаний сетевых технологий, с NAT вообще не понимаю, как и что. Проброс портов настраивал по инструкциям в инете. Но вот по поводу подключения пользователя через миктротик ничего не найти блин. По логам на кинеетике увидел такую картину(скрин прилагаю). В конце лога пишет "06[IKE] remote host is behind NAT ", получается что мой хост находится за NAT, значит проблема в настройками NAT у меня в микротике, я правильно понимаю? Помогите пожалуйста с настройками, очень все это интересно, но вот "тямы" не хватает, к сожалению

Изображение:

В офисе работает, что нужно, в интернет люди ходят и им более не надо. Этот ВПН это мое личное, подключаюсь и удаленно помогаю хорошим людям, находятся очень далеко. Из дома подключаюсь без проблем, но вот когда на работе, не могу подключится. Вот ковыряю интернет.Решил обратиться на форум, может найдутся добрые люди и на форуме подскажут, как настроить или хотя бы направят меня в нужном направлении. Может просто в теории, что не хватает в настройках маршрутизатора. Я немного не могу понять, что такое NAT, по определению так то вроде понятно, а что и как надо и кому подменять при соединении, не врубаюсь что-то не никак , помогите пожалуйста или направьте меня в нужном направлении

[karton]

Подозреваю что использовали дефолтную конфигурацию из "коробки", которая включает в себя некоторые правила firewall, посмотрите на счётчик правил которые блокируют трафик во время подключения по IKE, возможно увидите что какое-то из них блокирует вам ipsec

[dak_khv]

Подозреваю что использовали дефолтную конфигурацию из "коробки", которая включает в себя некоторые правила firewall, посмотрите на счётчик правил которые блокируют трафик во время подключения по IKE, возможно увидите что какое-то из них блокирует вам ipsec

Нет, в файерволе всего 2 правила. Делал по другое инструкции, сбросил полностью настройки и все с нуля настраивал, вот эти 2 правила:

chain=input action=drop connection-state=!established,related
in-interface=VostokTel log=no log-prefix=""

chain=forward action=drop connection-state=!established,related
in-interface=VostokTel log=no log-prefix=""

Вот ссылка на инструкцию:
https://stupidhouse.ru/node/59/

[karton]

Попробуйте второе правило отключить и подключиться по IKE

[dak_khv]

Попробуйте второе правило отключить и подключиться по IKE

попробовал, не подключается

А правило Nat такое:

chain=srcnat action=masquerade out-interface=VostokTel log=no log-prefix=""

все, больше нет никаких правил

Я пробовал отключить оба правила в firewall, не подключается :(

[dak_khv]

Ни одно подключение VPN из Windows не работает. ни PPTP ни L2TP не подключается. Явно проблема с настройками маршрутизатора, потому что до смены роутера все работало с этого компа

[dak_khv]

В роутерах Asus есть такая функция "NAT Passthrough", она как раз позволяет подключать виртуальную частную сеть (VPN) через маршрутизатор к сетевым клиентам. Пытался через терминал посмотреть правила iptables, но никаких правил не нашел по этому поводу. Как бы организовать такую функцию в Mikrotik. Неужели никто не делал этого. :(