Valentin Barbolin

### Настройка MikroTik1

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100

### Настройка MikroTik2

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100


Так же надо перенести IP адрес интернет подключения с ether1 на bridge1 и добавить bridge1 
в интерфейс список WAN. В моем примере vlan 100, у тебя должен быть другой. 
В процессе у тебя может отвалится интернет, так что буть акуратнее и используй safe mode.

есть в локалке некоторое количество айпишников

Если DHCP то добавить в резервацию что бы адреса не менялись.

Создаем address-list из потерпевших

/ip firewall address-list
add list=allowed_ips address=192.168.1.100
add list=allowed_ips address=192.168.1.101

Добавляем правила в firewall

# Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
/ip firewall filter
add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"

# Block all other internet access for addresses in the 'allowed_ips' list
add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"

В новых шаблонах для zabbix уже реализована фильтрация в discovery ruls через макросы. Заходим в нужный discovery ruls -> filter и смотрим какие фильтры используются, можем так же выполнить Test этого rule что бы посмотреть какие значения какой переменной соответствуют.

Например на уровне хоста можно переопределить макрос (НЕ НА УРОВНЕ ТЕМПЛЕЙТА!!!!)
{$NET.IF.IFNAME.MATCHES} = ether1

если надо два интерфейсайса
{$NET.IF.IFNAME.MATCHES} = ether1|ether2

дата действия CA 365 дней

знатно промахнулся) лет на 20 стоило выпускать. Как только он заканчивается, то все сертификаты которые он подписал стают не валидны.

По хорошему надо все переделать с нуля.

Если нужен как-то промежуточный этап, то можна сделать кросс подпись. Выпускаем новый сертификат CA со сроком жизни 20 лет, и выпустить новый сертификат для sstp но подписать его зразу двумя сертификатами CA - это кросс подпись. Это даст тебе время обновить CA на клиентах, т.к. этому сертификату sstp будут доверять клиенты и с новим и со старым CA.

Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.

В теории твой роутер могли взломать, но это легко проверить если подключить пк к интернет на прямую минуя роутер. Скорее всего провайдер модифицирует начало tls сессии что бы исключить tls 1.3. Возможно провайдер так блокирует ресурсы которые попали в не милость.

Когда я изнутри сети хочу получить доступ по имени этих веб-ресурсов, то у меня открывается веб-морда микрота.

Потому что DNS на него указывает. Клиент получает белый адрес ресурса, пытает зайти на белый адрес микротика из локальной сети, а по умолчанию микротик так не делает.

Добавлял статические записи в микрот, указывал основным DNS в микроте локальные DNS-сервера, ему пофиг.

Добавляешь статические записи для всех доменов, что бы указывали на внутренний адрес прокси 192.168.1.5. Меняешь настройки DHCP что бы клиенты в локальной сети получали в качестве DNS адрес микротика 192.168.1.1 и только его.

Как адекватно сделать перенаправление https на файлохранилище?

Маршруты
1. У VPN клиента должен быть маршрут в сеть 172.16.0.0/21, или дефол в VPN завернут
2. На микротик 1 должен быть маршрут в сеть 172.16.0.0/21
3. На микротик 2 должен быть маршрут в сеть 10.123.0.10-100 или на микротик 1 МАСКАРАД для сети 10.123.0.10-100 в сторону 172.16.0.0/21

Если в микротик ничего не менялось, то скорее всего ограничение в firewall на стороне windows 10.

Deman1, Как уже написал Артем Кайбагоров, надо:

1. Cоздать еще один бридж (bridge-WAN)
2. Добавить ether1 в этот бридж
/interface/bridge/port/ add bridge=bridge-wan interface=ether1 pvid=10
/interface/bridge/vlan/ add bridge=bridge-wan tagged=ether3 untagged=ether1 vlan-ids=10
3. Переназначить с ether1 ip адрес на bridge-WAN
4. Включить фильтрацию
/interface/bridge/set bridge-wan vlan-filtering=yes

В таком случае трафик входящий в 1 порт будет тегом отдаваться на 3ем порту.
Потом в настройках proxmox -> ВМ -> network interface, указываем использовать 10 vlan.

IPsec может работать в туннельном и транспортном режиме, ты включил туннельный режим. При использовании gre не надо отдельно настраивать IPsec , достаточно в gre поставить галочку IPsec и задать пароль, правила IPsec создадутся динамически.