Routování do sítě přes VPN

[DomiDomison]

Ahoj,

potřeboval bych pomoct s následujícím problémem.
Mám 2 sítě:
site1 - WAN veřejná IP (1.1.1.1), LAN 192.168.11.0/24
site2 - WAN neveřejná IP(DHCP 192.168.1.x/24), LAN 192.168.12.0/24
VPN mezi site1 (10.10.10.1) a site2 (10.10.10.2)

Teď, ale řeším problém jak nastavit, abych se při zadání adresy 1.1.1.1:5000 z libovolného zařízení v internetu a obou vnitřních sítí dostal na server (192.168.12.100) v síti 2 na port 80.
Určitě to je pro někoho z vás hračka, já si s tím ale už fakt nevím rady.
Díky za odpovědi

[Reklama]

[smoofy]

Port forwarding z 1.1.1.1:5000 na 192.168.12.100:80.

[DomiDomison]

zapomnel jsem rict, ze se jedna o mikrotik routery.
Presmerovnani na routeru v siti1 mam nastaveny, vidim ze i dovnitr neco leze ale nic se mi nevrati.

[M.]

Nevrátí se ti to zpět proto, že na routeru na site2 se odpovědi od serveru 192.168.12.100 nepošlou tunelem zpět na site1, ale na zákledě defualt routy pošlou ven přes wan1 a je to celé v kopru. Jsou obecně dvě řešení:
a) na site1 budeš dělat současně DNAT a SRCNAT kdy takto přeposlané spojneí NATne š i tdrojovou adresu, takže server uvidí spojení přicházející z 10.10.10.1 a vrátíse to zpět tunelem správně.
Nevýhoda - cílový server vidí spojení jdoucí z netu všechny jako z 10.10.10.1.
b) na site2 použiješ policy routing, který udělá to, že spojení, která přišla z tunelu, se správně vrátí zpět do tunelu a ne přes wan1 ven. Nutno v ip firewall mangle značkovat nová spojení přicházející tunelem a na záladě načky nastavovat alternativní routovací tabulku, co to pošle zpět tunelem.