Можно создать на клиенте и сервере статические интерфейсы для l2tp, чтобы они не исчезали при отключении микрота и не пропадали роуты.
Можно через динамическую маршрутизацию, используя ospf. Но так как роутеров всего два, можно обойтись и rip
Вы пишите "обхожу нат", а по факту наоборот, применяете маскарадинг. Фаервол и так по умолчанию весь трафик пропускает и нет смысла в этом разрешающем правиле. Лучше позаботится о блокировке нежелательного.
Вы пишете, что ppp поднялся... Зачем вы хотите еще dhcp-client, если адрес уже пингуется из терминала, т. е. уже получен и установлен?
content (string; Default: ) Match packets that contain specified text
Альтернатива: В этой теме пользователь PeterDoBrasil выложил вариант скрипта https://forum.mikrotik.com/viewtopic.php?t=75263
Дополнительно необходимо будет перехватывать и перенаправлять dns трафик на локальный dns микротика
В текущей конфигурации все хосты в одном широковещательном диапазоне. Это скорее коммутация, нежели маршрутизация. Схему необходимо переделывать, а не ещё больше усугублять ситуацию.
Необходимо использовать всегда только 1 из доступных соединений, настроив маршрутизацию и, к примеру, OSPF.
Можно попробовать ставить на внешний трафик с вашего айпи(или на определнный входящий порт) метку, натить его и затем маршрутизировать по этой метке на юбики.
Связались с тех-отделом провайдера. По факту была выявлена ошибка в предосталвенной информации. Данный префикс /64 должен был быть выделен для маршрутизации между нашим роутером и провайдерским. Для анонсирования в нашей ЛВС был предоставлен дополнительно префикс /48.
Надежный вариант - гонять соединение через sip-прокси в локальной сети(решалось так до переезда на собственную АТС). Самый простой вариант прокси, решающий эту задачу - siproxd
Роутер довольно слабенький, при наличии уже небольшого кол-ва правил начинает быстро проседать по скорости.
Как с загрузкой по CPU на роутере при тестировании скорости?
Можно попробовать использовать, где это возможно, Fast Path, Fast Track и fast-forward.
Самый простой способ вычислить любителей роутеров, проверять TTL в фильтре микротик. По умолчанию, у Windows он равен 64. На других ОС может быть равна 128 или 256. Если пакет прошёл через роутер, до того как достиг вашего Микротика, то TTL будет на 1 меньше.
Т.е. сравниваете TTL с 64, 128 и 256. Если не совпало - скорее всего роутер. Отклоняем соединение.
Возможно у вас модель Микротика такая, возможно версия прошивки, возможно модель модема или версия его прошивки или... Короче, вот вам обходной путь - при пропадании интернета через свисток, выполняйте скрипт: /system routerboard usb power-reset duration=3s https://wiki.mikrotik.com/wiki/Manual:USB_Features...
Не совсем понятно, зачем вы транк тащите сквозь Микротик.
Чтобы решить задачу, вам необходимо создать все те же Vlan (с такими же PVID) на втором порту. Затем сбриджевать каждые vlan попарно.
По умолчанию все vlan видят всех. Если это не так - проблемы в маршрутизации, а не Firewall
Пишите разрешающие правила где, например разрешающее правило в forward с source interface vlan2. Добавляете все прочие разрешающие правила, такие как доступ в интернет с этих vlan, или скажем, ращрешаете vlan 2 ходить в vlan 3. В конце делаете правило drop. Соответвенно все, что не будет разрешено выше, будет запрещено
