Здравстуйте. Ситуация такая. Есть головной офис, есть филиал. В филиале расположен видеорегистратор. Между ним поднят VPN PPTP. И там, и там есть белый IP. Задача получить доступ к видеорегистратору и через белый IP филиала, и через проброшенный порт с головного офиса. Адреса в голове 192.168.0.0/24 Адреса в филиале 192.168.1.0/24 VPN подсеть 172.16.1.1 С головного офиса порт через VPN пробросил такими правилами. В голове Код: chain=dstnat action=dst-nat to-addresses=172.16.1.26 protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-address-list="" dst-port=28810 log=no log-prefix="" В филиале сделал такие правила Код: add action=dst-nat chain=dstnat dst-port=28800 in-interface=ppp-out1 protocol=tcp to-addresses=192.168.1.64 to-ports=8000 add action=dst-nat chain=dstnat dst-address=172.16.1.26 dst-port=28810 protocol=tcp to-addresses=192.168.1.64 to-ports=8000 Добавил маршрут Код: /ip route add distance=1 gateway=172.16.1.1 routing-mark=cameraVPN Добавил правило Код: /ip route rule add disabled=yes src-address=192.168.1.64/32 table=cameraVPN При таком раскладе всё замечательно работает через порт 28810 в головном офисе, но прекращает работать через проброшенный порт 28800 в самом филиале. Отключаю правило маркировки, естественно, начинает работать напрямую через филиал и отваливается через головной офис. Как правильно создать правило маркировки, чтобы работали оба варианта одновременно? Интуитивно я понимаю, что маркировать надо только те пакеты, которые пришли на регистратор из VPN тоннеля и только их заворачивать обратно в тоннель, а те которые пришли с внешнего интерфейса не маркировать, и они уйдут обратно в WAN (PPP-out1) интерфейс. Но как это сделать что-то не пойму никак...