Dzięki za sugestie, na pewno tak jest, ale w tej chwili nie mogę skupić się na tym problemie niemniej zapewne kiedyś wrócę do tematu.
A obecnie wróciłem do rozwiązania:
Internet --- ONT --- MT (public IP z NAT) --- OpenWRT (local IP)
przy czym OpenWRT jest w DMZ (wystawiony przez MikroTika na starty interface WAN OpenWRT) co zrodziło jeden problem.
Otóż do otwierania portów na OpenWRT korzystam z FwKnop. Dzięki temu spadła do zera liczba prób logowania wystawionych usług w logach i na pewno wzrosło bezpieczeństwo, ale przez zainstalowanie MT OpenWRT przestał NATować adresy, stał się routerem w sieci lokalnej z usługami wystawionymi na starym porcie WAN, który teraz jest lokalnym IP, który przy okazji, przypomnę, interface WAN OpenWRT jest w DMZ.
Za pomocą FwKnop mogę wysłać zaszyfrowany magiczny pakiet, który wykona:
1. Open Port czyli np. otworzy mi port do SHH na OpenWRT (przypomnę wystawionym na DMZ), czyli usługi na starym porcie WAN OpenWRT.
2. NAT Access - tego używałem do otwarcia i przekierowania portów do innej maszyny niż OpenWRT, teraz to nie działa, bo nie ma NATa uruchomionego na OpenWRT. To tutaj jest problem!
3. Local NAT access - tego nie używałem, mogę podać tylko port i protokół, coś a'la Ad1 ???
4. Server Command - uruchomić polecenie systemowe np. iptables
W związki z powyższym jak zrobić obejście, aby na OpenWRT bez NAT (interface WAN działa na DMZ) wystawić port z innej maszyny (przekierować) na interface WAN OpenWRT (który nie NATuje), aby go następnie otworzyć za pomocą FwKnop AD1. "Open Port" lub Ad4 - "Server Command"? Opcje FwKnop Ad2 i AD3 z NATem chyba nie zadziałają, bo nie ma już NATa na OpenWRT.
PS. Wiem, że mogę przekierować port w MT do docelowej maszyny przed regułami DMZ, ale chcę za pomocą FwKnop w OpenWRT otwierać port na żądanie, a nie mieć go cały czas otwarty.