Как настроить RDP доступ из локальной сети к машине, подключенной по PPTP + Mangle?

Question

[rt001]

Что-то не получается, не могу сообразить.
Задача такая: удаленная машина на Вин2012 подключается к маршрутизатору по pptp, для нее не должны быть доступны ресурсы локальной сети, но одна машина из этой локальной сети должна иметь возможность подключиться к удаленной машине по rdp, используя вышеобозначенный pptp, больше ничего нельзя ни в ту ни в другую сторону.
Настройки маршрутизатора такие: 2 провайдера, работают одновременно. Разграничение между провайдерами осуществляется через адреслисты, за счет манглов. Поднял pptp сервер (10.1.0.1) на маршрутизаторе, подключение к нему устанавливается через интернет (к статическому IP первого провайдера) из под винды, клиенту выдается фиксированный адрес 10.1.0.254. Пинги с клиента проходят на маршрутизатор - как на адрес сервера (10.1.0.1), так и на локальный адрес маршрутизатора (192.168.1.1). С самого маршрутизатора клиент (10.1.0.254) пингуется, а вот с локальных машин клиент не пингуется.
tracert показывает, что трафик уходит к провайдеру, а не к клиенту pptp. В соединениях фаервола вижу, что трафик от локальной машины маркируется как для провайдера и, как я понимаю, поэтому к нему и уходит.
Нужно добавить исключение в манглах, что если адресом назначения является удаленная машина (10.1.0.254), а адресом отправителя конкретная локальная машина, то трафик не помечать, верно? Или как-то иначе это делается? Спрашиваю из-за того что интернет нельзя отключать надолго, поэтому нет возможности лишний экспериментировать.
Заранее спасибо!

Comments

[Wexter]

лучше прикрепите конфигурацию файрвола, так будет проще понять

[rt001]

Wexter:
/ip firewall mangle
add action=mark-connection chain=input comment="in wan2,out wan2" in-interface=wan2 new-connection-mark=wan2_conn
add action=mark-routing chain=output comment="in wan2,out wan2" connection-mark=wan2_conn new-routing-mark=wan2_traffic passthrough=no
add action=mark-connection chain=forward comment="pfw wan2, out wan2" connection-state=new in-interface=wan2 new-connection-mark=wan2_pfw passthrough=no
add action=mark-routing chain=prerouting comment="pfw wan2, out wan2" connection-mark=wan2_pfw in-interface=OfficeBridge new-routing-mark=wan2_traffic \
passthrough=no
add action=mark-connection chain=prerouting comment="wan2 con mark" connection-state=new dst-address-type=!local in-interface=OfficeBridge \
new-connection-mark=wan2_conn src-address-list=to_wan2
add action=mark-connection chain=prerouting comment="wan2 con mark" connection-state=new dst-address-type=!local in-interface=TourniquetBridge \
new-connection-mark=wan2_conn src-address-list=to_wan2
add action=mark-routing chain=prerouting comment="wan2 rout mark" connection-mark=wan2_conn in-interface=OfficeBridge new-routing-mark=wan2_traffic \
passthrough=no
add action=mark-routing chain=prerouting comment="wan2 rout mark" connection-mark=wan2_conn in-interface=TourniquetBridge new-routing-mark=wan2_traffic \
passthrough=no
add action=mark-connection chain=input comment="in wan1,out wan1" in-interface=wan1 new-connection-mark=wan1_conn
add action=mark-routing chain=output comment="in wan1,out wan1" connection-mark=wan1_conn new-routing-mark=wan1_traffic passthrough=no
add action=mark-connection chain=forward comment="pfw wan1, out wan1" connection-state=new in-interface=wan1 new-connection-mark=wan1_pfw passthrough=no
add action=mark-routing chain=prerouting comment="pfw wan1, out wan1" connection-mark=wan1_pfw in-interface=OfficeBridge new-routing-mark=wan1_traffic \
passthrough=no
add action=mark-connection chain=prerouting comment="wan1 con mark" connection-state=new dst-address-type=!local in-interface=OfficeBridge \
new-connection-mark=wan1_conn src-address-list=to_wan1
add action=mark-routing chain=prerouting comment="wan1 rout mark" connection-mark=wan1_conn in-interface=OfficeBridge new-routing-mark=wan1_traffic \
passthrough=no
add action=mark-connection chain=prerouting comment="wan1 con mark" connection-state=new dst-address-type=!local in-interface=GuestBridge \
new-connection-mark=wan1_conn
add action=mark-routing chain=prerouting comment="wan1 rout mark" connection-mark=wan1_conn in-interface=GuestBridge new-routing-mark=wan1_traffic \
passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan1 routing-mark=wan1_traffic
add action=masquerade chain=srcnat out-interface=wan2 routing-mark=wan2_traffic
add chain=srcnat src-address=192.168.1.0/24

Answer 1

[HawK]

Исключения добавляются в правила с помощью символа "!" перед src и dst-адресами. Есть другой способ - можно продублировать нужные маршруты в соответствующие таблицы маршрутизации.

Comments

[rt001]

мангл поправил, но пинги с компа, находящегося на другой стороне (192.168.1.200), за маршрутизатором, не ходили на pptp клиента, пока на клиенте не добавил маршрут route add 192.168.1.200 mask 255.255.255.254 10.1.0.254
передавать бы клиенту этот маршрут в 249й опции dhcp, но микротик так не умеет, насколько я знаю :(