Bogdan Dolgopolov, Вероятно у вас не работает connection tracker, добавьте правило в файрвол:
/ip f f add action=accept chain=forward connection-state=established,related
Или включите принудительно:
/ip f connection tracking set enabled=yes
В представленной вами конфигурпции проверять работоспособность нужно со стороны интернета.
Если внешний и внутрении порты совпадают, то в action to-port указывать не обязательно.
Экпорт нужно делать с агрументом hide-sensitive, у вас в конфиге видны учетные данные.
Серёга, посмотрел изменённую схему, в вашем случае самым правильным решением будет изменить адресацию в одном из сегментов, либо за роутером асус, либо за микротиком и настроить маршруты в эти сегменты на обоих роутерах
Erazm_Darvin, значит нужно смотреть логи dns сервера. Возможно на mikrotik в nat настроен redirect или другое перенаправление для udp 53, может быть в ip dns заданы статические записи или перенаправление по регулярному выражению
Серёга, Если схема в посте правильная и mikrotik является единственным маршрутизатором в сети то все и так должно работать, потому что информация обо всех сегментах и маршрутов в эти сегменты на нем есть. Проверить можно, например, попинговав локальный ip атс с устройства, которое находится в одном сегменте сети с телефоном. Если не работает проверить наличие запрещающих правил в цепочке forward в ip-firewall-filter.
Если все хосты знают маршруты друг к другу то к атс вы можете подключаться по её локальному адресу.
Если схема неверная, то нужно больше подробностей, но в целом логика в том, что каждый маршрутизатор должен знать обо всех сегментах сети. Если говорить об атс, то маршрут для соседнего маршрутизатора gw2 выглядит следующим образом:
/ip route add dst-address=192.168.0.0/24 gateway=10.155.79.2
В качестве адреса gateway нужно использовать адрес вашего маршрутизатора о котом знает gw2
Серёга,
Для того чтобы все заработало нужно
1. Отключить external ip или указать в поле локальный, а не внешний адрес, на атс.
2. На маршрутизаторе включить sip helper, отключив опцию direct media.
3. В правиле проброса rtp портов в action убрать to-ports.
Еще момент в целом на ситуацию не влияющий, но все таки, заменить action в правилах проброса портов с netmap на dstnat, это более правильное решение.
А вообще раз у вас это все в локальной сети почему бы просто не настроить маршруты и не отказаться от nat?
Capitollium, да, конфигурация с bridge vlan filtering более правильная, но будет чуть сложная в настройке, в вашем случае для R1 это должно выглядеть примерно так:
/interface bridge add name=bridge1 vlan-filtering=yes
/interface vlan add interface=bridge1 name=vlan.100 vlan-id=100
/interface vlan add interface=bridge1 name=vlan.200 vlan-id=200
/interface bridge port add bridge=bridge1 interface=ether1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=100
/interface bridge vlan add bridge=bridge1 tagged=bridge1,ether1 untagged=ether2,ether3,ether4 vlan-ids=200
Но, повторю, если вам не нужна л2 связность филиалов, а она почти никогда не нужна, лучше сделать все на 3 уровне, туннели и маршруты.
AaronHuston,
Тогда проверить правила файлвола на наличие условий random, nth, и limits. Или сделайте
/ip export terse hide sensetive
с обоих маршрутизаторов
Александр Мороз, восстанавливать бинарный бэкап на другом устройсве крайне не рекомендуется, лучше сделать экспорт-импорт. Если порт1 на устройстве работает — netinstall должен запуститься, тут пошагово все что нужно сделать. По поводу свободного места можно проверить в system-logging нет ли там правила записывающего логи на диск, еще проверить system-scripts, возможно там какой-нибудь бэкап по расписанию создается, отправляется и удаляется.
quintera, Кажется я понял, если у вас в сети в качестве днс сервера выступает mikrotik, а вы таким образом хотите добавить на него днс запись, то вы это делаете не там, днс записи добавляются в IP -> DNS -> Static
quintera, Не понимаю зачем вам это, если у вас reverse-proxy настроен то вы на него и напрвляйте трафик. Если клиент и веб сервер находятся в одном сегменте, то только настройками самого веб сервера, т.е. менять прослушиваемые порты на 80, 443.
Если сервер у вас в отдельном сегменте сети, то как-то так, где 192.168.99.0/24 — сегмент клиентов
/ip firewall nat add action=dst-nat chain=dstnat dst-address=192.168.88.50 dst-port=80 protocol=tcp src-address=192.168.99.0/24 to-ports=8080
