Артем Кайбагоров

Routing > Tables

Как настроить маршрутизацию чтобы из vlan20 пинговался шлюз ISP2?

Это не вопрос маршрутизации. Для этого придётся Eth2 и Eth3 собрать в бридж и сделать Eth2 нетегированным участником vlan20.

Если по условиям задачи (мы же их не знаем...) Eth2 и Eth3 нельзя объединять в бридж, то не следует и назначать адреса из одной сети для ISP2 (на схеме IPS2) и для vlan20.

Минимальное изменение схемы - это уменьшить 10.10.10.0/24 до 10.10.10.128/25 (пул DHCP тоже уменьшить);
на Eth3 назначить 10.10.10.129 и объявить его шлюзом внутри 10.10.10.128/25;
на Eth2 назначить 10.10.10.2; тогда всё будет естественным образом, без бриджа.

Читать про Bridge VLAN Filtering и не делать кучу Bridge, хватит одного.

А в самом IP KVM случайно шлюз не забыли указать ?

Если микротик работает не правильно, значит его настроили не правильно :)

Похоже на проблему маршрутизации или не правильного nat

Продамус хорошо работает, нужна только самозанятость. Они сами отправляют чеки в "Мой налог". Хорошая и удобная система для мелких сайтов. Вход - 10 000 разово.

Перечисленные выше агрегаторы - это скам и дерьмо, особенно фрикасса.

Вообще, нужно смириться с тем, что искать хороший сервис и при этом не быть подотчётным налоговыми сборами - это давно нереально.

Нужно настроить Hairpin NAT

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.231.0/24
add action=netmap chain=dstnat comment=Hikvision dst-port=554 in-interface=\
pppoe-out1 protocol=tcp to-addresses=192.168.231.197 to-ports=554
add action=netmap chain=dstnat comment=Synology in-interface=pppoe-out1 protocol=tcp \
to-addresses=192.168.231.200
add action=netmap chain=dstnat comment="Synology VPN" in-interface=pppoe-out1 \
protocol=udp to-addresses=192.168.231.200

Если вы прочитали, что netmap это улучшения версия проброски портов со знаменитой статьи хабр, то советую читать не статьи , а документацию.

netmap нужно для общение двух сетей с одинаковой адресацией.

Далее, если у вас порты или адрес совпадает, то не надо его указывать для переназначения. Если порт 554, то он и так будет перенаправлен на 554, зачем это делать два раза по сути ? То же самое с IP.

Выставлять камеру или другие такие вещи лицом в интернет я бы не стал, если вам конечно не все равно, что в один прекрасный момент на вас могут смотреть.
Лучше настроить VPN.

В остальном вроде стандартный конфиг, на сколько можно было быстро посмотреть глазами.

Если сомневаетесь - дефолтная конфигурация вполне рабочая и сносная - юзайте ее подправив под себя

Планировщик заданий - Библиотека планировщика заданий - Microsoft - Windows - UpdateOrchestrator - Reboot - ПКМ - Отключить

Сахар или соль.

Взять номера Vlan с фортика и настроить их на MikroTik через Bridge VLAN Filtering в сторону фортика. Дальше на MikroTik раскидать на нужные порты.

Даже не представляю с чего начать

С такой формулировкой лучше нанять квалифицированного специалиста.

А еще добавлю, что если уж 1.2.3.4 у нас действительно статичный, то лучше вместо маскарада сделать src-nat на известный нам адрес.