nihi1ist, микротики между собой как соединены? IP-адрес микротика 1 - 192.168.16.1 ? Если да, то через какой интерфейс он доступен? Ether1? Опять же если да, то нужно еще, чтобы на микротике 1 также должны быть маршруты в сети, которые подключены через микротик 2, а также разрешения для них в файрволе и исключения для внутренних ip-адресов в NAT. Также желательно для стыка микротиков между собой выделить отдельную подсеть /30 (255.255.255.252), это позволит уйти от проблем, которые могут возникнуть при обращениях в ту же подсеть, в которой у микротика 2 ip-адрес на ether1.
Будет проще ответить предметно, увидев конфиг обоих микротиков.
nihi1ist, а что именно на данный момент вызывает вопрос? Из того, что бросается в глаза при беглом просмотре, можно отметить, что в IP - Firewall - Filter есть разрешающие правила, но нет ни одного запрещающего. А по умолчанию политика в цепочках INPUT и FORWARD - разрешать все, соответственно если нужно какой-то трафик блокировать, то это должно быть прописано явно.
Попробуйте заменить IN_MODIFY на IN_CLOSE_WRITE. У меня в таком варианте incrond отлично работает, правда для вновь создаваемых файлов. А еще права на файл проверьте, может он не исполняемый.
Проблема самоустраняется или только после каких-то действий? Что-то в логах сетевого оборудования есть? Loopback detection и storm/broadcast control включите на длинках (лучше только на клиентских портах). Также можно на всякий случай попробовать включить RSTP на свичах, а также на бриджах микротиков, порты которых включены в локальную сеть. Правда, насколько я помню, на некоторых моделях D-Link STP и loopback detection не работают одновременно.
Ну и попробуйте поднять какой-то сервис, который мониторит свичи по SNMP. Если будут графики с трафиком/пакетами/ошибками по всем портам, то даже без явных алертов в логах оборудования будет проще понять, что происходит.
Н@nikweter, насколько я знаю, ip-адреса будут использоваться рандомно. Вот тут кто-то спрашивает, как сделать, чтобы не было рандомности для запросов с конкретного внутреннего ip - https://forum.mikrotik.com/viewtopic.php?t=109419
CityCat4, иногда бывает, что через один внешний ip нужно опубликовать целую пачку разнородных сервисов, живущих на разных серверах. Например, в организации, которая не хочет размещать инфраструктуру в облаках или внешних датацентрах, а держит все сервера у себя.
Николай Савельев, под такую задачу можно сделать на микротике SNAT не в один внешний ip, а сразу в подсеть. Тогда tcp-запросы от сервера будут выходить в Интернет рандомно с одного из ip-адресов внешней подсети. Правда есть вероятность, что потом забанят подсеть целиком...
Сами адреса поднимать не обязательно, т.к. провайдер, насколько я понял из описания, выдал маршрутизируемую сеть, а не непосредственно подключаемую к его внешнему каналу. Достаточно, чтобы были правила DNAT с внешнего ip на внутренний. Это может быть актуально, если через один внешний ip нужно опубликовать несколько серверов на разных портах.
vng2373, если требуется "прозрачное" объединение локальных сетей (на уровне L2), то чисто теоретически, этот роутер можно перепрошить в OpenWRT, после чего можно будет попробовать объединить локальные сети с помощью OpenVPN, подняв сервис на роутере. Без перепрошивки это можно попытаться сделать, пробросив на роутере порт OpenVPN на какой-то компьютер или сервер внутри сети, на котором будет поднят сервис OpenVPN. Если L2-связность не нужна, а достаточно, чтобы была маршрутизация из одной локальной сети в другую, то вариантов существенно больше (возможно использовать IPSEC, PPTP, L2TP, опять же после прошивки в OpenWRT или с пробросом порта на отдельный сервер). Но если требуется шифровать трафик, то совокупная пропускная способность шифрованных каналов на таком роутере будет очень невелика - единицы-десятки Мбит/с (думаю, не более десяти при шифровании AES 256CBC).
А что стоит в офисе с "серым" ip?
P.S. В организации, где я работаю, для решения подобной задачи в центральном офисе в качестве VPN-сервера используется Mikrotik RB1100AHx4, в филиалах в качестве клиентов - разные мелкие микротики, в основном RB750Gr3
Для того, чтобы раздавался интернет, не обязательно, чтобы порты были в бридже. Если на них назначены ip-адреса с непересекающимися подсетями, и в списке правил Firewall ничего не блокирует трафик, то все должно работать. Почему у вас не работает, можно будет сказать, увидев конфиг роутера.
Можно и не выделять отдельный интерфейс, а назначить внешнюю подсеть на какой-то из существующих в дополнение к уже прописанным на ней ip-адресам, это не принципиаьный момент. В данном случае интерфейс - это логическая сущность Mikrotik, на которую можно назначить внешний ip (это может быть ethernet порт, бридж, всевозможные туннельные интерфейсы).
Mikrotik RB2011 - это модель, которой уже почти 10 лет, и её сейчас вряд ли имеет смысл приобретать. Есть дешевле и намного производительнее. Хотя под 60 Мбит/с и её хватит, если не использовать тяжелый для CPU функционал.
Имхо ПК-роутер оправдан только в случае, если нужно вести логгирование действий пользователей, например на прокси-сервере (т.е. не в случае топикстартера). Но в таком случае к нему нужен либо админ, который все настроит и будет поддерживать потом, либо какой-то софт типа Kerio Control (к сожалению, цены на него для небольших организаций почти заградительные).
АртемЪ, под то, что нужно топикстартеру, минимально необходимые настройки можно задать через QuickSetup. Хотелось бы надеяться, что если человек спрашивает что-то здесь, а не, скажем, в комментариях к видеообзорам бытовых роутеров на Youtube, то он готов вложить немного труда в то, чтобы применять даваемые ему ответы более-менее осмысленно. Иначе да, может случиться конфуз, подобный например этому - https://youtu.be/DblbWVBHdZE
Если бюджет ограниченный, кратного роста трафика не предполагается, и нет большой вероятности, что отрицательные ответы на остальные вопросы станут однажды положительными, то я бы применил https://mikrotik.com/product/RB750Gr3
Но конечно здесь возможно предложить множество различных разнобюджетных вариантов сетевого оборудования или ПО для использования в качестве интернет-шлюза, зависящих в том числе от предпочтений и опыта конкретного админа.
Пока слишком обще сформулирована задача. Пропускная способность канала в интернет какая? Резервировать его не предполагается? Фильтровать доступ в интернет пользователям нужно? Вести какой-то учет их трафика нужно?
Будет проще ответить предметно, увидев конфиг обоих микротиков.