Даниил, Ваше правило сделано так, что для того чтобы попасть в блок, не нужно перебирать, достаточно однажды обратиться к одному из перечисленных портов, если для него не настроен dst-nat. Из перечисленных портов только 14725 вызывает подозрение, потому что сложно предположить что google-store инициировал tcp покдлючение, или разработчики какго-то плагина решили постучаться к вам по остальным портам. На самом деле и про 14725 можно сказать то же самое. Могу посоветовать включать логи и анализировать.
Enlighted_one, А, если вы про условие connection state в правиле файрвола, то да, внутри этого условия используется операнд ИЛИ
В приведенном примере условие будет срабатывать на все новые И все неверные соединения.
Valentin Barbolin, В настройках neighbor и mac-server разрешен только один interface-list, в который входит только один management vlan интерфейс, тем не менее в winbox на ноутбуке из гостевой сети отображаются соседи.
Bogdan Dolgopolov, Вероятно у вас не работает connection tracker, добавьте правило в файрвол:
/ip f f add action=accept chain=forward connection-state=established,related
Или включите принудительно:
/ip f connection tracking set enabled=yes
В представленной вами конфигурпции проверять работоспособность нужно со стороны интернета.
Если внешний и внутрении порты совпадают, то в action to-port указывать не обязательно.
Экпорт нужно делать с агрументом hide-sensitive, у вас в конфиге видны учетные данные.
Серёга, посмотрел изменённую схему, в вашем случае самым правильным решением будет изменить адресацию в одном из сегментов, либо за роутером асус, либо за микротиком и настроить маршруты в эти сегменты на обоих роутерах
Erazm_Darvin, значит нужно смотреть логи dns сервера. Возможно на mikrotik в nat настроен redirect или другое перенаправление для udp 53, может быть в ip dns заданы статические записи или перенаправление по регулярному выражению
Серёга, Если схема в посте правильная и mikrotik является единственным маршрутизатором в сети то все и так должно работать, потому что информация обо всех сегментах и маршрутов в эти сегменты на нем есть. Проверить можно, например, попинговав локальный ip атс с устройства, которое находится в одном сегменте сети с телефоном. Если не работает проверить наличие запрещающих правил в цепочке forward в ip-firewall-filter.
Если все хосты знают маршруты друг к другу то к атс вы можете подключаться по её локальному адресу.
Если схема неверная, то нужно больше подробностей, но в целом логика в том, что каждый маршрутизатор должен знать обо всех сегментах сети. Если говорить об атс, то маршрут для соседнего маршрутизатора gw2 выглядит следующим образом:
/ip route add dst-address=192.168.0.0/24 gateway=10.155.79.2
В качестве адреса gateway нужно использовать адрес вашего маршрутизатора о котом знает gw2
Серёга,
Для того чтобы все заработало нужно
1. Отключить external ip или указать в поле локальный, а не внешний адрес, на атс.
2. На маршрутизаторе включить sip helper, отключив опцию direct media.
3. В правиле проброса rtp портов в action убрать to-ports.
Еще момент в целом на ситуацию не влияющий, но все таки, заменить action в правилах проброса портов с netmap на dstnat, это более правильное решение.
А вообще раз у вас это все в локальной сети почему бы просто не настроить маршруты и не отказаться от nat?
Capitollium, да, конфигурация с bridge vlan filtering более правильная, но будет чуть сложная в настройке, в вашем случае для R1 это должно выглядеть примерно так:
/interface bridge add name=bridge1 vlan-filtering=yes
/interface vlan add interface=bridge1 name=vlan.100 vlan-id=100
/interface vlan add interface=bridge1 name=vlan.200 vlan-id=200
/interface bridge port add bridge=bridge1 interface=ether1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=100
/interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1 untagged=ether2,ether3,ether4 vlan-ids=200
Но, повторю, если вам не нужна л2 связность филиалов, а она почти никогда не нужна, лучше сделать все на 3 уровне, туннели и маршруты.
AaronHuston,
Тогда проверить правила файлвола на наличие условий random, nth, и limits. Или сделайте
/ip export terse hide sensetive
с обоих маршрутизаторов
Александр Мороз, восстанавливать бинарный бэкап на другом устройсве крайне не рекомендуется, лучше сделать экспорт-импорт. Если порт1 на устройстве работает — netinstall должен запуститься, тут пошагово все что нужно сделать. По поводу свободного места можно проверить в system-logging нет ли там правила записывающего логи на диск, еще проверить system-scripts, возможно там какой-нибудь бэкап по расписанию создается, отправляется и удаляется.