Приветствую
Ситуация следующая: Имеется сеть 192.168.31.0/24 с роутером Mikrotik (192.168.31.1) во главе.
К Микротику также подключен WAN порт роутера Keenetic (192.168.31.253 172.31.31.1), раздающий клиентам адреса в сети 172.31.31.0/24
На Микротике прописан маршрут таким образом, чтобы клиенты сети 192.168.31.0/24 имели доступ к сети 172.31.31.0/24
На Кинетике специально никаких маршрутов не прописывалось. Только были добавлены правила фаервола^
Клиенты сети 172.31.31.0/24 по умолчанию также имеют доступ к сети 192.168.31.0/24
Что получаем в итоге: С доступом из сети 192.168.31.0/24 в сеть 172.31.31.0/24 никаких проблем нет.
В обратном случае пакеты спотыкаются о правило фаервола Микротика add action=drop chain=forward connection-state=invalid.
В логах творится вот такое безобразие(пример попытки доступа в веб-морду принтера, имеющего адрес 192.168.31.10 с ПК, имеющего адрес 172.31.31.152):
правила accept forward при connection established и related перед правилом дропа естественно присутствуют. Подскажите пожалуйста, в какую сторону копать?
Пробовал (больше от безысходности) на Кинетике прописывать маршрут до сети 192.168.31.0/24 через шлюз 192.168.31.253 - эффекта никакого
