Проброс RDP мимо VPN

Тема в разделе "Вопросы начинающих", создана пользователем NicKerrr, 3 май 2023.

  1. NicKerrr

    NicKerrr Новый участник

    Есть железный микрот на котором настроен vpn client (l2tp + ipsec), на котором весь трафик гонится в туннель:

    filter rules пока пустые.
    Код:
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface-list=WAN
    add action=masquerade chain=srcnat out-interface=l2tp-kaz
    
    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-address-list=!lan new-routing-mark=vpn-kaz passthrough=yes src-address-list=lan
    
    /ip firewall address-list
    add address=192.168.228.0/24 list=lan
    
    /ip route
    add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=l2tp-kaz routing-table=vpn-kaz scope=30 suppress-hw-offload=no target-scope=10
    
    Хочу сделать проброс RDP на комп за микротом.

    Пишу следующие правила:

    Код:
    /ip firewall mangle
    add action=mark-connection chain=forward dst-address=192.168.228.221 dst-port=3389 log=yes new-connection-mark=isp1-f-8888 passthrough=yes protocol=tcp
    add action=mark-routing chain=prerouting connection-mark=isp1-f-8888 log=yes new-routing-mark=main passthrough=yes protocol=tcp src-address=192.168.228.221 src-port=3389
    
    
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-port=8888 in-interface=ether1 log=yes protocol=tcp to-addresses=192.168.228.221 to-ports=3389
    
    И в принципе это работает. Настраиваю на другом железном микроте и эта же схема не работает.
    На компах внутри сети файрволы отключены. Не исключено, что манглы написаны неправильно. Подскажите, где я совершаю ошибку :)
     
  2. NicKerrr

    NicKerrr Новый участник

    Проморгал параметр passthrough - было no, поставил yes и заработало на другом микроте.

    Но все равно хотелось бы комментариев от профи, правильно ли сделано или можно лучше?