d-stream

Зачастую в l2tp/ipsec, да и вообще народ забывает что помимо tcp/ip протоколов ещё существуют ip UDP, AH, ESP, IKE, [GRE]
Сотрудники провайдера - это тоже забывают и в итоге какой-нибудь http/https долетит норм, а вот забытые AH и ESP - нет и l2tp/ipsec не поднимется...

p.s. штука распространенная и даже с "волками" облачных сервисов приходилось бодаться на эту тему - как-то они забывают или "забывают" что ip - это не только tcp )

Я один раз "повесилился": wifi у человека в упор отказался работать... Симптомы были схожи: телефон в нескольких сантиметрах от базы временами подключался на секунды... В итоге оказалась "глушилка" в виде нескольких 700мВт передатчиков видеонаблюдения, как раз аккуратненько разложенных в районе 2.4ГГц )
p.s. навскидку в радиусе километров 5-10 городской застройки вещание этих камер должно было устойчиво приниматься)))

AD вероятно нет... тогда можно покостылить.

https://forum.mikrotik.com/viewtopic.php?t=184100#...

Как вариант - попробовать отправить на 172.20.2.255

Стоит проверить что из той сети smtp откликнется и примет хотя бы HELO
А то к примеру мой провайдер уже лет 20 не пробивается и упорно блочит все исходящие на 25 порт, мотивируя это борьбой со спамом.
Ну и классику стоит проверить тоже - известен ли маршрут по которому надо идти пакетам назад? )

Собственно про плюсы и минусы засыпания уже расписали.
А вот про реализацию непросыпания при сканировании - давно уже есть такое понятие как port knocking
то есть в меру своей паранойки можно задать последовательность номеров портов и только при обращении в этой последовательности - будить.

Образчик для микротика

Можно поиграть с MPLS например или любыми другими методиками объединения сетей на L2. Только затея эта в любом случае порочна со всех сторон.

Можно порыть в сторону вкладки "L7" в firewall
но не думаю что будет весело микротиковскими мозгами лопатить регэкспы для всех пакетов

И что будет? Ну покажет канал клиент-провайдер 100500 гигабит/сек, а у провайдера на мир один 100mb/s канал на всех клиентов

Разве что уличать провайдера в жульничестве прикладывая два спидтеста до него и чуть дальше...

p.s. типа "родное" в микротике - Bandwith test к BTest Server (меню Tools)

Я бы расположил по "приличности" примерно так:
1. RDS Gateway и/или vpn по вкусу (anyconnect, ipsec+l2tp и т.п.)
2. vpn по вкусу (anyconnect, ipsec+l2tp и т.п.)

прятать порт в нестандартных - ну это от школоты разве что, хотя сейчас и школота не руками сканит = боты с разных адресов сканят все диапазоны портов, максимум вначале известные порты

Вот последним можно воспользоваться:
делаем правила дропа и занесения в блэклист обращения к типичным, но не задействованым портам (telnet, ftp, ssh, sql, mysql, sip и тп)

в итоге бот сунулся в порт из списка - не успев получить ответ дропнулся и попал в список и больше ему нет ответа даже с "правильных" портов.

На микротике - это собственно две строки:
input правило если src addr в блэклисте
input правило с действием add src to list - помещать в блэклист

у меня на этой сладкой палочке со сроком очистки 10 дней висит порядка 2-4 тысяч адресов

p.s. главное родной rdp в правила не подсовывать, а то одна ошибка, забыв указать порт и отдых)

На уровне tcp/ip нет понятия "имя". Есть только адрес [порт]
Соответственно в рамках этого уровня - задача не имеет прямого решения. Так или иначе необходимо надстраивать уровни выше, которые уже позволят через транспорт прогнать некие логические сущности где будет фигурировать и имя... Но это будет нечто по типу реализации своего http например)

Так что либо оставаться в рамках адрес:порт с трансляцией их по нужным устройствам, либо тем или иным образом реализовывать транспорт в эту сеть (vpn) и оперировать в dns локальными адресами устройств.
Ну или делать некую своего рода прослойку в виде http/ws/etc на морде которая сможет раскидывать за натом, но следом потребуется и всем клиентам уметь в эту прослойку... что окажется посложнее чем pptp/l2tp/sstp и т.п.

В таком описании - задача не решается. Ибо раз шлюзом М1 - то все пойдет через него. А им управлять нельзя...
Разве что на всех компьютерах, которые потенциально должны ходить и через М2 прописать явно отдельные маршруты для 111.11.11.11 через 192.168.1.2

p.s. использовать сети 192.168.0.0/24, 192.168.1.0/24 - засевать свой огород быстрорастущими граблями)

1. Настраиваем простую схему когда каждый офис работает со своим провайдером.
2. Учим микротики ходить в интернет через "соседа" при падении своего катала

Упрощенно можно рассматривать vlan как отдельные кабельные сети со своими коммутаторами.
Термины у разных коммутаторов могут отличаться, поэтому попробую обобщенно:
порты к которым подключены конечные хосты - будут членами каких-то конкретных vlan, а порты коммутатор-микротик - будут включать в себя все vlan
останется на микротике на портах к коммутаторам прописать эти vlan и настроить для них нужные правила

Покуда микротик будет лишь пропускать или нет компы в internet - все будет хорошо. Но как только захочется гонять что-то между компьютерами из разных vlan - микротику придется заняться маршрутизацией и тут боливар станет задыхаться....

Решение есть - либо более мощный маршрутизатор, либо L2+/L3 коммутатор - тот умеет маршрутизировать пакеты со скоростью коммутации (правда и гибкость в плане маршрутизации поменьше, но как минимум acl обычно все умеют)

Сеть 192.168.1.0/24 на предприятии - поганая засада в силу того что примерно 80% домашних "мыльниц" используют её же. В итоге с маршрутами до предприятия будет беда...

Для вашей задачи достаточно минимального - сменить сеть на более другую. Например 192.168.199.0/24
И все. При поднятии туннеля у произвольного юзера получится что для сети 192.168.199.0/24 шлюзом будет vpn адаптер, а для остального - родной мыльничный (вероятно 192.168.1.1).
Конечно не исключено что найдется гениальный юзер, настроивший свою домашнюю сеть на 192.168.199.0/24 - придется ему порекомендовать выбрать что-нибудь иное из диапазонов частных сетей типа 10.0.0.0/8, 172.16.0.0/12, 92.168.0.0/16, 100.64.0.0/10 и т.п. ну или сменить работу...

ftp работают в двух разных режимах - пассивном и активном. Для активного - придется включить ftp alg

Провайдер выдаёт белые статические адреса по всем точкам подключения

Именно провайдер в единственном числе? Тогда стоит пообщаться с провайдером на предмет объединения сетей его возможностями. Притом это может оказаться и экономически выгодным. К примеру достаточно давно несколько площадок платили за l2vpn 100мбит/с несколько меньше чем за 10мбит/с "интернета".