> хм, а как же тогда работает когда коннектишься напрямую из винды клиентом openvpn?
Логично, что в таком случае сервер общается с клиентом через IP внутри VPN канала, и ему не надо знать реальный IP клиента в локальной сети.
> Получается мне на сервере надо прописать маршрут до 192.168.0.0/24 через 10.100.200.1(адрес vpn сервера) ?
На сервере должен быть маршрут в локальную сеть через IP адрес микротика внутри VPN. Или маскарадить (NAT) трафик в VPN на микротике.
High Sierra compatibility
High Sierra arrived in September 2017 and supported the following Macs:
MacBook (Late 2009 or newer)
MacBook Pro (Mid 2010 or newer)
MacBook Air (Late 2010 or newer)
Mac mini (Mid 2010 or newer)
iMac (Late 2009 or newer)
Mac Pro (Mid 2010 or newer)
Можно, но получится не красиво и не гибко. Например надо будет отключить запись для говорских линий всем абонентам, просто комментируете строку в контексте с городскими линиями и все.
Если отойти в сторону, то вся эта схема - полная дичь, с точки зрения маршрутизации. Может привести к нестабильной работе протокола который вы собираетесь так маршрутизировать. То что так можно сделать - не говорит о том, что это правильно.
Если вы изложите более детально задачу, то можно будет найти и более правильный ответ. Скорее всего, придется что-то переделать с маршрутизацией в сети.
1) add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.7.1
Это правило пробрасывает порт (если быть точнее, то пробрасывает весь TCP трафик), на 7.1 при этом 7.1 видит что пакет пришел с 3.2 и т.к. у него нет маршрута в сеть 3.0 (и GW тоже нет), то он не знает куда отправлять ответ. Дале мы решает эту проблему маскарадом, правило 3.
2) add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.7.1
На 3.2 ответ прилетит от 7.1, от чего он конечно будет в ШОКЕ, т.к. запрос от отправил на 3.1. Мы решаем эту проблему этим правилом, маскирует пакет от 7.1 в сторону 3.2.
3) add action=masquerade chain=srcnat dst-address=192.168.7.1 src-address=192.168.3.0/24
Это правило маскирует пакет от 3.2 в сторону 7.1.
> И вот в случае с одним правилом - страница грузится медленнее и бывает не прогружаются картинки или не все, а с двумя правилами - все грузится моментально - как и положено в локальной сети
Как уже писал ранее, при одностороннем маскараде, PC1 обращается на 3.1, а ответы ему прилетают от 7.1 - конечно же возникают ошибки, т.к. он ждет ответ от 3.1. Ошибки это переотправка пакетов, что визуально выливается в медленную работу соединения.
Логично, что в таком случае сервер общается с клиентом через IP внутри VPN канала, и ему не надо знать реальный IP клиента в локальной сети.
> Получается мне на сервере надо прописать маршрут до 192.168.0.0/24 через 10.100.200.1(адрес vpn сервера) ?
На сервере должен быть маршрут в локальную сеть через IP адрес микротика внутри VPN. Или маскарадить (NAT) трафик в VPN на микротике.