-A POSTROUTING -s 195.209.130.9/32 -o eth2 -j SNAT --to-source 10.0.0.10
-A POSTROUTING -s 10.0.0.0/24 -d 20.0.0.0/24 -j MASQUERADE# это удалить
#-A POSTROUTING -s 10.0.0.0/24 -d 20.0.0.0/24 -j MASQUERADE
# это поменять на
#-A POSTROUTING -s 10.0.0.0/24 -o eth2 -j MASQUERADE
# это
-A POSTROUTING -s 10.0.0.0/24 ! -d 20.0.0.0/24 -o eth2 -j MASQUERADE
И вот это
-A INPUT -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
и forward
-I FORWARD -s 10.0.0.0/24 -d 20.0.0.0/24 -j ACCEPTКогда L2TP из коробки в винде есть уже)
насколько безопасно VPN в микротике для корпоративных данных
Есть какие то VPN клиенты которые считаются золотым стандартом безопасности?
Для доступа к рабочим ресурсам используется один впн
локальные шары работают без впн
Если есть возможность указать браузеру через какой интерфейс работать
SNI это расширение для SSL/TLS, логично что это TCP, но не всякий TCP это TLS. Мало того, SNI не обязательное поле. Если коротко, это не будет работать.
Если твое приложение использует TLS при подключении к порту 1234, то возможно у тебя есть шанс выдернуть из TLS имя домена в поле SNI и завернуть трафик на нужный сервер. Если это просто TCP - то забудь.
Можно попробовать настроить балансировку, что бы порт 1234 рандомно прокидывался на один из серверов, если соединение не успешное, то на второй север. Но это такой костыль.
Тебе нужен второй IP, вариант с VPS не плохой. Возможно твое приложение умеет работать с DNS SRV записями?