CityCat4

Независимо от того, используются провайдерские DNS или нет, если mysite.com в списках РКН - провайдер будет его банить. Например, путем перехвата DNS-запросов по порту 53. Если в них содержится запрос на резолв mysite.com, такие пакеты могут тупо дропаться. Нет резолва - нет коннекта.

Наверное потому что маршрутизация не настроена :) Микротик сам ничего не делает :)

Микротик ничего не знает о пользователях.
Микротик не интегрируется в AD или еще какую среду (IPA например).
Микротик не знает, что такое NETBIOS.

Микротик знает только IP. Сам не пробовал, но если можно будет снимать статистику в формате ipcad - можно будет считать по IP, портам, etc. Без нормального прокси полноценной статистики не получить.

Доооолгое время у меня все было на одном хосте - и FreeBSD (которая работала роутером), и сервак, и тестовые машинки. Эта схема хороша, когда ты постоянно дома и способен в пару кликов поднять упавший FreeBSD, который постоянно после пропадания питания пишет про software inconsistency. Когда тебя дома нет - приходится привлекать неквалифицированного ребенка :D
Поэтому я для себя решил так - микротик (аппаратный, коробочка), и только микротик. Сервак у меня из разряда "сам-себе-сервер", iLO в нем нет, если бы был - выставлять его в тырнет я бы не стал. Микротик прекрасно держит и тырнет и IPSec VPN до работы, пропало питание - нет связи. Появилось питание - микротик включился, я зашел на консоль FreeBSD, отвесил ей профилактического пенделя...
Аппаратный микротик в Вашем случае дает гарантию того, что можно будет попасть на iLO, а с него уже и сервак рестартануть, если надо. DSM...ну там конечно линух, там и mc можно замутить, и пакеты ставятся...но я бы отделился микротиком, а DSM оставил внутри сети. Если нужно прям попадать на DSM - там есть DS Cloud Client, позволяющий файлообмен - будет типа маленького дропбокса :)

Определенному пользователю или определенному IP адресу? Микротик работает на том уровне, где нет логинов пользователей - для этого нужно прокси ставить.

В разделе маршрутизации. Микротик должен знать, что пакет, пришедший с 1.2.3.4 для 4.3.2.1 нужно направить в интерфейс [ifname0], пройдя по которому он достигнет либо 4.3.2.1 непосредственно, либо того, кто знает, куда этот пакет направить дальше. Ну и соответственно 4.3.2.1 должен знать, что если ему пришел пакет от 1.2.3.4, его не дискардить, а отправить тому, кто знает куда этот пакет девать. Тут настройки скорее всего придется делать на обеих микротиках.

Сколько с микротиком не работал - пищал он у меня только при перезагрузке. Сначала длинное "бииип" - началась загрузка, потом через некоторое время "бип, бип" - загрузился и готов. Не знаю, может в разных моделях по-разному, но RB450G почти год на столе стоял...

RouterOS не позволяет работать с таблицей raw. Совсем. Можно конечно на форуме микротика поспрашивать - сделали же они в конце концов IKEv2 :)

Конечно прокси. Не микротиковское в смысле встроенное прокси, а нормальный полноценный squid. Который в частности решает и задачу обломать юзера, возжелавшего слить фильмец на пару гигов в рабочее время :)

Поставив мощный репитер Вы рискуете себе повредить кое-что :) indoor-антенны вовсе не зря ограничены по мощности. В вашем здании просто обязаны быть слаботочные шахты между этажами - прокладывайте провод через них. На репитерах Вы не построите сколько-нибудь устойчивой сети.

Это что, гуглопереводчик что ли, так перевел? И что значит "администрировать"? Выделять? Торговать? ARP привязывать? :)

Выкинуть такую циску, в которой isakmp нет :) и купить микротик. На двух микротиках IPSec настраивается буквально в несколько команд, особенно если по PSK, а не по сертификатам. Или линух поставить сo strongswan-ом - он не менее просто интегрируется.

Ну вот несколько примеров.

# Все от программы ntpdate в файл /var/log/ntpdate
if $programname == 'ntpdate' then                       /var/log/ntp

# все остальное в файл /var/log/daemon
if $programname != 'ntpdate' \
    and $syslogfacility-text == 'daemon' then           /var/log/daemon

# Сообщения MARK в файл /var/log/marks
if $msg == '-- MARK --' then                            /var/log/marks

# остальные в /var/log/kernel
if $msg != '-- MARK --' \
    and $syslogfacility-text == 'kern' then             /var/log/kernel

У Rsyslog несмотря на наличие документации с примерами бяда-бяда...

При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

1. При формировании политик нужно указывать серые IP.
2. Шифрование SHA256 работает только при линке двух микротиков между собой.

Пример настройки:
(микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

Cо стороны микротика с серым IP

/ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes

Cо стороны микротика с белым IP:

/ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes

Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку

Подключиться терминалом или открыть новую терминальную сессию в winbox
export file config
Скопировать с микротика файл config.rsc (текстовый файл). Это и есть полный конфиг, заполненный командами, которые настроят устройство.
К вышеприведенным советам можно добавить, что если устройство работает в условиях производства, то не лишним будет его прочистить от пыли. При всей своей невесомости - пыль электропроводная штука!

У меня как-то стояла обратная задача - как разрешить слушать онлайн-радио через прокси. Решилась разрешением подключений по порту 8052. Ну, а как известно всюду есть две стороны - как разрешают, так можно и запретить.

Несмотря на то, что PPTP взломан аж в 2012 году ?

Но по факту, при чистом Installed SAs листе у меня работает только один туннель из двух...

Разумеется, поскольку в записи SA в том виде, как она хранится в ядре - одно поле под индекс записи SP. Поэтому SA можно связать только с одной политикой. А раз так - значит надо построить политику так, чтобы нужная подсеть покрывалась одной маской. Например, указать в качестве dst-address 172.20.0.0/16 - тогда под действие этой политики будут попадать пакеты на оба хоста.