На самом деле речь не совсем об офисе и филиале, задача подразумевает получение RTSP потоков IP видеокамер с удаленных объектов где локальная сеть организована на базе роутера Mikrotik, но нет выделенного IP адреса (соответственно, прямой доступ ни к роутеру ни к иным устройствам в его локальной сети невозможен). Так или иначе, но необходим по крайней мере хотя бы один роутер с выделенным IP адресом, предположим, что он у нас есть — в головном офисе организации. Для дальнейшего упрощения повествования будем называть место где расположен ведущий роутер Mikrotik с выделенным IP адресом «офисом», а удаленный объект с ведомым роутером Mikrotik без выделенного IP адреса «филиалом»
Поскольку ничего секретного на камерах не происходит, то и шифровать соединение особо не требуется, однако, если вы планируете передавать между офисом и филиалом важную информацию, то я бы рекомендовал воспользоваться SSTP (обязательно на сертификатах) или же OpenVPN. В качестве альтернативы можно присмотреться и к WireGuard. В нашем случае подключение будет организовано через L2TP — протокол туннелирования 2 уровня, от PPTP пришлось отказаться из-за неприятных особенностей некоторых провайдеров резать GRE. Начинаем с роутера в офисе, подключаемся к нему (через WinBox или web-интерфейс — кому как удобнее) и сразу же идем в файрволл: IP->Firewall->Filter Rules. Здесь мы создаем следующее правило:
Chain: input
Protocol: 17 (udp)
Dst. Port: 1701
In. Interface: ether1
Action: accept
В пункте с выбором интерфейса нужно указать тот, посредством которого роутер подключен к интернету. После создания правила его нужно перетащить наверх списка — так, чтобы оно оказалось выше запрещающих правил (если таковые есть). Обычно я оставляю комментарий к правилу, что-то вроде «Rule for L2TP».
Закрываем вкладку с файрволлом и открываем новую вкладку PPP. Здесь идем в профили (Profiles), видим, что есть 2 стандартных профиля — default и default-encryption. Заходим в профиль default-encryption и выставляем следующие параметры:
Change TCP MSS: yes
Use UPnP: no
Use MPLS: no
Use Compression: no
Use Encryption: yes
Only One: yes
Сохраняем изменения. Обычно в инструкциях пишут, что нужно создавать новый, отдельный профиль и прописывать локальные и удаленные адреса, создавать пулы и т.д. — в нашем примере мы этого делать не будем, а просто пропишем статику для каждого VPN пользователя. Переходим на вкладку пользователей (Secrets) и создаем нового пользователя:
Name: VPN_U1 (здесь можно задать любое имя пользователя)
Password: <пароль> (можно указать любой пароль)
Service: any
Profile: default-encryption
Local Adress: 192.168.0.100 (здесь нужно вписать адрес роутера)
Remote Adress: 192.168.0.20 (здесь нужно вписать адрес клиента)
Сохраняем пользователя, по образу и подобию можно создать несколько пользователей. Далее переходим на вкладку интерфейсов (Interface) и создаем т.н. интерфейс пользователя — он будет закреплен за тем пользователем, имя которого мы укажем в настройках. Нажимаем синий крест в верхнем левом углу и выбираем пункт «L2TP Server Binding», вписываем следующие данные в появившемся окне:
Name: L2TP.U1 (здесь можно указать любое имя интерфейса)
User: VPN_U1 (здесь нужно вписать имя ранее созданного пользователя)
Самое время включить L2TP сервер, для этого на этой же вкладке нажимаем на кнопку L2TP Server и указываем следующие данные:
Enabled: yes
Default Profile: default-encryption
Authentication: mschap2 (остальные галки снять)
Use IPsec: no
One Session Per Host: yes
Закрываем окно, идем в правила NAT: IP->Firewall->NAT. Здесь создаем правило маскарадинга для только что созданного интерфейса:
Chain: srcnat
Out. Interface: L2TP.U1
Action: masquerade
Закрываем окно, идем в раздел правил маршрутизации: IP->Routes. Исходя из вышеприведенных настроек, в нашем примере подсеть офиса будет выглядеть как 192.168.0.0/24, а подсеть филиала — 192.168.7.0/24. Для большей наглядности сделаем 2 правила — доступ только к роутеру филиала и доступ ко всей подсети филиала. Начнем с доступа к роутеру:
Dst. Address: 192.168.7.1 (это адрес роутера филиала)
Gateway: L2TP.U1 (здесь указываем ранее созданный интерфейс)
и второе правило для всей подсети филиала:
Dst. Address: 192.168.7.0/24
Gateway: L2TP.U1 (здесь указываем ранее созданный интерфейс)
Теперь настраиваем клиентское подключение на роутере Mikrotik филиала. Заходим на роутер и идем в раздел PPP, создаем клиентское подключение — нажимаем на синий крест в левом верхнем углу и выбираем «L2TP Client» и указываем следующие данные:
Name: HQ.L2TP
Connect To: <внешний IP роутера офиса>
User: VPN_U1
Password: <пароль пользователя VPN_U1>
Profile: default-encryption
Use IPsec: no
Allow Fast Path: no
Dial On Demand: no
Add Default Route: no
Allow: mschap2 (остальные галки нужно снять)
Если все сделано верно, то роутер филиала подключиться к роутеру в офисе и с этого момента из локальной сети офиса можно ходить в локальную сеть филиала. Чтобы из локальной сети филиала ходить в локальную сеть офиса необходимо создать правило маршрутизации (до подсети офиса 192.168.0.0/24 через шлюз HQ.L2TP) и правило маскарадинга в разделе NAT на роутере филиала.