Freeradius и NAT?

Telnet из консоли МТ на порты радиуса проходит?

Почему не ходит трафик от пользователей в другую сеть?

На клиентах, в качестве шлюза по умолчанию, микротик указан?

Интернет в офис - и как настроить?

Рональд Макдональд, Ну тут все довольно индивидуально и довольно шатко, кому-то везет, а кто-то попадает в косяк. Начнут дизайнеры перегонять макеты с сервака и обратно и все, спеклась вайфайка и еще соседи вывернут мощность своих точек на максимум, ну чтобы сигнал получше был, как им кажется, и тогда скорость падает до 15-20 Мбит, что грустно. А протянуть кабель к 15-и рабочим местам, в маленьком помещении, это не дорого

Интернет в офис - и как настроить?

Рональд Макдональд, Ну, у автора указано, что у него машин 10-15 в маленьком офисе и это уже много. Нет, работать оно будет, но проблем может наловить, особенно если это офисное здание с десятком, другим соседских вифи.

Интернет в офис - и как настроить?

Угу, и когда сервак упадёт, то упадёт и вся сеть. Никогда так не делайте, купите отдельный Микрот.

Mikrotik CHR, Cisco CSR с представителями HP, Dell, IBM, VMWare, Citrix и Open Source сообщества нервно хихикают в углу.

Можно не путать офис проводами, а закупить WiFi-роутер и WiFi-свистки в каждый комп.

А вот так делать не нужно, WiFi - для телефонов, планшетов и гостей, а постоянные рабочие места должны быть подключены проводом, ибо эфир не резиновый и не постоянный

Как пробросить локальное USB устройство в RDP?

А она случайно как неопознанное устройстве (без драйверов) не определяется?

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

Пожалуйста ) Сейчас напишу

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

Сморите в firewall клиентов или в их таблицу маршрутизации. Последнее правило подменяет ip из сети 192.168.0.0/24 на адрес микротика - 192.168.7.1 и клиенты его пропускают, а вот из сети 192.168.0.0/24 не горят желанием

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

CityCat4,

Предположим я на компе с адресом 10.54.2.1 набираю команду "ping 10.54.1.1".
Пакет проходит таблицы mangle prerouting, nat prerouting, mangle forward, filter forward (и вот тут, если у Вас строгая фильтрация и нет правила, разрешающего трафик от 10.54.2.0/24 на 10.54.1.0/24, он и помрет), mangle postrouting, nat postrouting и уже готов отправиться на default gateway, но в этот момент ведро проверяет его по SPD - а не надо ли его зашифровать и переотправить? Ага, пакет подпадает под политику, значит мы его шифруем и преобразовываем. И пакет icmp от 10.54.2.1 на 10.54.1.1 шифруется и упаковывается в пакет esp от 1.1.1.1 на 2.2.2.2!
Пошифрованный пакет ведро снова ренижектит в сетевой стек, он снова - уже в своем новом качестве - проходит mangle output, nat output, filter output (и вот тут, если нет разрешения на трафик в сторону 2.2.2.2 или на протокол esp, он и помрет), mangle postrouting, nat postrouting - и отправляется в тырнет на удаленную точку.
Вот только удаленная точка не захочет его принять, она его отбросит, как поврежденный.
Почему?
Когда пакет проходил nat postrouting, у нас сработало стандатное правило замены src-ip, которое подменяет все внутренние IP на наш внешний IP:
/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether6 to-addresses=1.1.1.1

...и которое заменило IP и нам и при этом поломало контрольную сумму пакета, так что теперь она не сходится и ведро, пытаясь расшифровать ESP-пакет, отбрасывает его, как поврежденный! Что делать? Надо указать не трогать уже подготовленные ESP-пакеты - в них уже все выставлено правильно:

Эмм...тут все немного не так, у микротика проверка ipsec policy выполняется после postrouting и src-nat, следовательно 10.54.2.1 заменится на 1.1.1.1 и 1.1.1.1 -> 10.54.1.1 ≠ 10.54.2.0/24 -> 10.54.1.0/24 поэтому пакет шифроваться не будет
Mikrotik IPsec Encryption/Decryption

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

ioangrozniy, ну попробуйте добавить в nat, в целях эксперимента

ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.7.240

и проверить

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

Ну на скрине видно, что пакеты к 7.240 нормально доходят до микротика и походу следуют далее (обведенные цифры это скорость и кол-во переданной информации)
С самого микротика 7.240 пингуется?

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

Ну со стороны микротика все хорошо и проблем тут быть не должно. Для красоты, удалите все-таки add distance=1 dst-address=192.168.0.0/24 gateway=ether1-wan, оно не нужно тут и глаз режет =)

Проверяйте настройки на длинке, смотрите не ошиблись ли где в адресации сети за микротиком, правильная ли маска

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

Бридж не влияет на это.
А скиньте сюда вывод команд

ip ipsec export
ip firewall export
ip route export
ip ipsec installed-sa print

100.64.0.2 - это заменитель реальных wan адресов, они рекомендованы к использованию провайдерами и в примерах конфигураций. У вас он 195.239.xxx.xxx
Он локальный т. к. это wan адрес выданный провайдером нашему роутеру и с него будет идти коннект к удаленному пиру

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

С dlink'ом к сожалению не подскажу, никогда его не видел и не щупал
Сейчас, в целях эксперимента, в симуляторе накидал вашу сетку, но между двумя микротами
Вот с таким конфигом все работает на ура с обеих сторон

/interface ethernet
set [ find default-name=ether2 ] disable-running-check=no name=LAN
set [ find default-name=ether3 ] disable-running-check=no name=MGMT
set [ find default-name=ether1 ] disable-running-check=no name=WAN
/ip ipsec peer
add address=100.64.1.2/32 local-address=100.64.0.2 name=peer1
/ip address
add address=100.64.0.2/30 interface=WAN network=100.64.0.0
add address=192.168.7.1/24 interface=LAN network=192.168.7.0
/ip firewall nat
add action=accept chain=srcnat ipsec-policy=out,ipsec
add action=masquerade chain=srcnat log=yes out-interface=WAN
/ip ipsec identity
add peer=peer1 secret=%123456789%
/ip ipsec policy
add dst-address=192.168.0.0/24 sa-dst-address=100.64.1.2 sa-src-address=100.64.0.2 src-address=192.168.7.0/24 tunnel=yes
/ip route
add distance=1 gateway=100.64.0.1

Можете попробовать использовать GRE over IPSEC, тогда появится интерфейс который можно нормально использовать в маршрутизации и не будет плясок с ipsec policy

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

Со стороны микротика у вас все хорошо, искать проблему нужно со стороны Dlink, возможно он натирует пакеты идущие в сеть микротика и они не попадают под политики ipsec

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

Правило 192.168.0.0/24 ether1-wan можно убрать, оно все равно не работает (приватные сети не должны маршрутизироваться через Интернет), маршуртизаюцию у вас выполняют ipsec policy (в таблице Route List, они как маршрут не отображаются и в interfaces не появляются тоже), вот их бы показать

Что нужно настроить что бы проходит трафик из ipsec за mikrotik?

Ну вы бы как-то побольше информации дали, а то у вас сейчас получается - "Чиню volskwagen, топливо заливаю все нормально, но не заводится"

Mikrotik VRRP 4 локалки, как поднять?

Myroslav Khovalko, почта в профиле

Mikrotik VRRP 4 локалки, как поднять?

Myroslav Khovalko,
На wan ничего не нужно, netwatch будет смотреть за доступностью с wan адреса и если гугл днс не доступен, то с уверенностью 99% можно сказать, что у вас пропал интернет (1% оставим, что гугл сломался), интерфейс vrrp гаснет и бекап принимает на себя роль ведущего.

Непонятный ip-адрес в микротитке?

денис, коммутаторы