VPN с доступом с широкополосного Wi-Fi роутера в основную локальную сеть

Извините, в последние дни я изменил IP-адресацию, чтобы сделать её совместимой с другими сетями, так что: http://postimg.org/image/k8eti2uxh/ (не знаю, как показать это прямо на форуме, думаю, тег [Img] не работает)
-----------------[ADSL]---------------гостевая сеть-----------------------[RB450G]--------основная сеть------------------[SWITCH]
публичный IP…192.168.2.1…192.168.2.3…192.168.100.1…192.168.100.1/24  

Что я хочу — чтобы многофункциональный принтер в основной сети с адресом 192.168.100.50 был доступен из гостевой сети 192.168.2.x, чтобы подключённые ноутбуки могли печатать и, возможно, сканировать?  

Принтер Canon iRC 2380i, и, как я понял, для печати он использует порт 9100.  

Я использую такие команды (для теста с принтером Brother):  
Из: https://www.mikrotik.com/documentation/manual_2.4/IP/NAT.html  

Я применяю:  
add action=dst-nat chain=dstnat comment=“Brother printer” dst-address=192.168.2.3 to-addresses=192.168.100.50  
add action=src-nat chain=srcnat src-address=192.168.100.50 to-addresses=192.168.2.3  

Но, кажется, у меня какое-то неверное понимание, потому что это не работает.  

Спасибо за помощь!

Спасибо, Revelation. С MikroTik и с любого компьютера из основной сети я могу пинговать гостевую сеть и интернет. С MikroTik я могу пинговать принтер 192.168.100.50. По твоему совету я сделал так:  
/ip firewall nat add action=dst-nat chain=dstnat comment=“Brother printer” dst-address=192.168.2.3 dst-port=9100 protocol=tcp to-addresses=192.168.100.50 to-ports=9100  
И теперь я могу печатать из гостевой сети 192.168.2.x/24. Но есть другая проблема: Windows пишет «принтер без подключения». Думаю, надо пробросить ещё какой-то порт или протокол? Или нужно сделать source-nat? Спасибо.

В моём тестовом сценарии всё работает, но когда я приезжаю к заказчику — не работает. У меня такая конфигурация: гостевая сеть                                     основная сеть - lan -----------------[ADSL]--------------------------------------[RB450G]-------------------------------[SWITCH] публичный IP…192.168.1.1…192.168.1.3…192.168.100.0/24

Принтер имеет адрес 192.168.100.220. Пытаюсь сделать telnet 192.168.1.3 9100 — не отвечает. В логе Mikrotik вижу: 192.168.1.121:58707->192.168.1.3:910, len 52 dstnat: in:ether1 out:(none), src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN).

Вот конфигурация:

/ip firewall filter add chain=forward connection-state=established,related  
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1  
add action=masquerade chain=srcnat comment=“masq. vpn traffic” src-address=192.168.150.0/24  
add action=dst-nat chain=dstnat comment=“Impresora Canon iRC 2380i” dst-address=192.168.1.3 dst-port=9100 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=9100  
add action=dst-nat chain=dstnat comment=“Impresora Canon iRC 2380i” dst-address=192.168.1.3 dst-port=8613 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=8613  
add action=dst-nat chain=dstnat comment=“Impresora Canon iRC 2380i” dst-address=192.168.1.3 dst-port=8612 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=8612  
add action=dst-nat chain=dstnat comment=“Impresora Canon iRC 2380i” dst-address=192.168.1.3 dst-port=8611 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=8611

Спасибо!

Привет, я могу подключиться к MikroTik через telnet. С MikroTik я могу подключиться к принтеру на порт 9100:  
[admin@MikroTik] /system> telnet 192.168.100.220 9100
Попытка подключения к 192.168.100.220… Подключено к 192.168.100.220. Символ выхода — ‘^]’.  
С основной локальной сети я могу с ПК подключиться к принтеру через telnet 192.168.100.220 9100. Но когда я пытаюсь сделать telnet 192.168.1.3 9100 из WAN-Guest LAN, ответа нет.  
Спасибо.

Привет, у меня включён лог для правила: add action=dst-nat chain=dstnat comment=“Impresora Canon iRC 2380i” dst-address=192.168.1.3 dst-port=9100 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=9100. Но когда я пытаюсь подключиться по telnet к WAN-порту роутера командой “telnet 192.168.2.3 9100”, в логе ничего нет. Зато если я подключаюсь к роутеру просто по telnet “telnet 192.168.2.3”, в логе появляется информация о соединении. Я подключил свой ноут напрямую патчкордом к WAN-интерфейсу с IP 192.168.2.5 — результат тот же: ничего. Wireshark показывает (скриншот screen-wireshark.png), что Mikrotik отвечает с TCP-флагом RESET с “set”, то есть сбрасывает соединение, но почему? Большое спасибо за уделённое время.

Но почему отклонено? Вот моя полная конфигурация, она очень простая:

[admin@MikroTik] > /export
feb/12/2016 15:10:50 by RouterOS 6.33.3  
software id = 9VVE-VI90  

/interface bridge add name=bridge1  
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n country=spain disabled=no frequency=auto mode=ap-bridge name=Bodegas ssid=Bodegas wireless-protocol=802.11
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys wpa-pre-shared-key=password wpa2-pre-shared-key=Bodegas2016
/ip pool add name="DHCP LAN" ranges=192.168.100.100-192.168.100.200  
add name="VPN Pool" ranges=192.168.150.2/31  
/ip dhcp-server add address-pool="DHCP LAN" disabled=no interface=bridge1 name="DHCP LAN"  
/ppp profile set *FFFFFFFE local-address=192.168.150.1 remote-address="VPN Pool"  
/interface bridge port add bridge=bridge1 interface=ether2  
add bridge=bridge1 interface=ether3  
add bridge=bridge1 interface=Bodegas  
/interface l2tp-server server set enabled=yes ipsec-secret=password use-ipsec=yes  
/interface pptp-server server set enabled=yes  
/interface sstp-server server set default-profile=default-encryption enabled=yes  
/ip address add address=192.168.2.3/24 comment="default configuration" interface=ether1 network=192.168.2.0  
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0  
/ip cloud set ddns-enabled=yes  
/ip dhcp-client add dhcp-options=hostname,clientid interface=ether1  
/ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1 netmask=24  
/ip dns set servers=80.58.61.250,80.58.61.254,8.8.8.8,4.4.4.4  
/ip firewall filter add chain=forward connection-state=established,related  
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1  
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.150.0/24  
add action=dst-nat chain=dstnat comment="Impresora Canon iRC 2380i" dst-address=192.168.1.3 dst-port=9100 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=9100  
add action=dst-nat chain=dstnat comment="Impresora Canon iRC 2380i" dst-address=192.168.1.3 dst-port=8613 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=8613  
add action=dst-nat chain=dstnat comment="Impresora Canon iRC 2380i" dst-address=192.168.1.3 dst-port=8612 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=8612  
add action=dst-nat chain=dstnat comment="Impresora Canon iRC 2380i" dst-address=192.168.1.3 dst-port=8611 log=yes protocol=tcp to-addresses=192.168.100.220 to-ports=8611  
/ip route add distance=1 gateway=192.168.2.1  
add comment="by Kiril" disabled=yes distance=1 dst-address=192.168.100.0/24 gateway=ether2 pref-src=192.168.100.1 scope=10  
/ppp secret add name=patricia password=password  
add name=felipe password=password  
add name=kiril password=password  
/system clock set time-zone-name=Europe/Madrid

[admin@MikroTik] >

Спасибо.

«out interface = none» просто означает, что исходящий интерфейс в настройках явно не указан. В данном случае это не должно быть проблемой. Я бы проверил ваш файрвол. Убедитесь, что у вас есть правило разрешающее трафик на ваш WAN-интерфейс для этих портов. Если это не поможет, тогда стоит захватить все пакеты, входящие и исходящие через WAN-интерфейс, чтобы понять, что мы упускаем.