Если вы пытаетесь, с компьютера находящегося в сети 192.168.1.0/24, попасть на адрес 192.168.1.2/24 и вас не пускает, то это проблема в настройке сервера 192.168.1.2 и его control panel (если вы конечно на клиенте, с которого подключаетесь, не нарисовали статичных маршрутов) , микротик тут не участвует, т. к. сервер в одной подсети с клиентом и маршрутизация не требуется.
Bjornie: Ну скорее всего из-за патентов и не могут, т. к. их разработка не должна пересекаться с запатентованными решениями более чем на n %, в противном случае нужно платить роялити (это если владелец патента согласится), что для линукса неприемлемо. А придумать что-либо совсем новое - не так просто.
Ну сделайте два правила порт форвардинга, один старый 3389->3389, другой новый, допустим 5678->3389. Создайте файлик с настройками на новый порт и положите на рабочий стол каждому пользователю, а при логоне выдавайте ему сообщение, что нужно скопировать себе этот файлик и использовать его для подключения, т. к. старое подключение перестанет действовать через 10 дней.
З. Ы. А у вашей RdpGuard был аналог EvlWatcher, но разаработчик решил его полностью переделать и пока находится в режиме тестирования. Там был анализ ивент логов и добавление правил к виндовому фаерволлу
Все походу зависит от того, к какой винде устанавливается коннект, в моем примере я подключался к 2003 серверу и он создавал два новых подключения. Сейчас подключаюсь к 2008 и уже только одно, т.е. nth=2,2 не нужно, попробуйте в моем листинге убрать этот пункт и проверить. Возможно вам придется поиграть с значением nth
З.Ы. Правила должны идти сверху вниз, т. е. первое это black-list
Wexter: Ну у микротиков ipsec polices это как еще одна таблица маршрутизации, вначале просматривается основная таблица, а потом заглядывают в ipsec и если в политиках есть совпадение, то трафик шифруется.
Можно глянуть диаграмму Packet Flow, ну и глянуть тут
Wexter: Там будет только ipsec polices, в таблице маршрутизации ничего не будет светится и нужно будет дополнять настройки ipsec. Хотя в идеале нужно настроить GRE over IPSec и тогда можно было бы не извращаться и оперировать нормальным интерфейсом.
Ну, что-то тегированное у вас это аплинки коммутаторов, порт к маршрутизатору и к виртуалкам. Другие порты тегированными не сделаете, по причине тупых свичей (не думаю, что у вас там хабы, которые транслируют все, во все порты), т. к. они отбросят тегированный фрейм как поврежденный, из-за метки vlan (хотя некторорые могут и пропустить, тут как повезет) , да и не все конечные устройства позволяют настроить vlan у себя на интерфейсе. Поэтому, если хотите все это причесать и действительно сегментировать сеть, то либо заменяйте тупые свичи, на что-то что сможет в vlan, либо группируйте и подключайте определенные устройства, в определенные свичи, типа камеры все в одном свиче, офисные компьютеры в другом, телефоны в третьем (имеются ввиду тупые свичи).
Тут да, согласен, купить L2+/L3 свич для уровня агрегации будет надежнее, но ведь денег могут и не дать. А если тик накатить на виртуальную машину и дать ему пару ядер, то он нормально перелопатит маршуртизацию vlan (если конечно не требовать от него всего и сразу, типа 350 правил огнестенки, 100500 очередей, 200 впн туннелей). Да, если там одноядерный, 600 МГц, то он сдохнет.
Ваш роутер выступает в роли посредника и сам интернет не получает, он просто передает данные от вас к второй точке, а вон она уже спрашивает у вас лого/пасс. Т. к. вы уже авторизовывались на этой точке, то у вас и не спросили пароль. Проверьте, через некоторое время запрос на пароль должен появиться.