Здравствуйте.
Есть два офиса с Mikrotik Rb951 в каждом. У первого роутера внешний адрес 1.1.1.1, внутренний - 10.10.10.1. У второго - 2.2.2.2 и 10.20.20.1 соответственно.
На обоих роутерах настроен IPSEC-туннель до 3.3.3.3.
Для того, чтобы пользователи в офисах могли работать с ресурсами на другом конце туннеля (30.30.30.0), на обоих роутерах есть соответствующие правила, которые не позволяют «замаскарадится» трафику:
/ip firewall nat chain=srcnat action=accept src-address=10.10.10.1/24 dst-address=30.30.30.0.0/24 log=no log-prefix=""
и
/ip firewall nat chain=srcnat action=accept src-address=10.20.20.1/24 dst-address=30.30.30.0.0/24 log=no log-prefix=""
соответственно.
Оба роутера соединены между собой, трафик между подсетями ходит нормально. С этим проблем нет.
Необходимо организовать возможность работы обоих офисов в случае пропадания интернета в любом из них.
Предположим, пропал интернет в первом офисе. Чтобы пользователи в этом офисе не заметили проблемы с отсутствием интернета, достаточно на первом роутере сделать маршрут для всего трафика (0.0.0.0), указав шлюзом второй микротик. Это работает нормально.
С маршрутом, указанным выше, весь трафик уходит в сторону провайдера. Не могу сообразить, как быть с трафиком, который должен уйти в туннель. Подскажите как правильно это сделать?
