DeNick, для того чтобы раздавать файлы и ip-адреса, серверу достаточно только одного порта, смотрящего в локальную сеть. Если вы уберете задачу по маршрутизацию трафика с сервера, то у вас останется один роутер вместо двух, что существенно упростит администрирование. Также ничего не мешает перенести DHCP-сервер на Микротик, там управление выдачей ip-адресов реализовано вполне удобно. Если бы на сервере была установлена винда и контроллер домена, то еще был бы какой-то смысл держать там и DHCP-сервер. А в остальном все правильно поняли.
Возможно ли повесить два IP-адреса на один WAN-порт - зависит от того, как провайдер раздает Интернет. Наверное имеется ввиду, можно ли получить две разные услуги на одном порту? Скорее всего можно, но зависит от того, как конкретно провайдер предоставляет подключение.
Даже если так, то наверное не стоит давать рекомендации, ведущие к дальнейшему усугублению ситуации? ;) A TP-Link можно например прошить в OpenWRT и в этом случае с безопасностью все станет немного лучше, и появится возможность обеспечить доступ между сетями, просто прописав маршруты между сервером и роутером (при условии, что провайдер пропускает трафик), или, что более правильно, поднять IPSEC (правда tp-link выдаст единицы мегабит в шифровании).
P.S. Все когда-то были школьниками...
Я бы немного по другому сделал. Сейчас у вас два независимо друг от друга работающих роутера, их можно было бы заменить на один, поставив его рядом с провайдерским коммутатором. При этом TP-Link окажется вообще не нужен, а сервер, если он выполняет какие-либо задачи, помимо маршрутизации и выдачи ip-адресов по DHCP, можно оставить включенным в локальную сеть одним портом. Из оборудования наверное подойдет Mikrotik RB750Gr3, при условии, что тарифы на интернет не более примерно 300Мбит/с (столько он способен смаршрутизировать, если интернет раздается через PPPoE, а если провайдер не использует инкапсуляцию, то существенно больше). Порты настраиваются гибко, каждый порт может быть и LAN, и WAN, можно задействовать несколько каналов в интернет одновременно. Единственно, настройка с непривычки может показаться сложноватой (но фактически это всего-лишь переработанный интерфейс к стандартным сетевым возможностям Linux - маршрутизации, iptables и т.д.).
kapitansen, а веб-сервер какой и на чем работает? По крайней мере апач на линуксе без каких-либо проблем отдает файлы с юникодными сисволами по urlencoded ссылке (проверил это на вашем конкретном случае).
Веб-сервер по идее понимает urlencoded-ссылки и превращает их в нормальные имена файлов, когда кто-то по ним переходит. Хорошо бы в логах посмотреть, какой именно файл не находит веб-сервер. Или полностью привести вывод 404-й ошибки, если там есть эта инфа. В общем, нужно больше подробностей.
Может, погода? С микротиками на 60ГГц не приходилось сталкиваться, но слышал, что радиомосты на таких частотах плохо реагируют на сильные дождь или снег.
В обычных точках доступа Mikrotik в окне беспроводного интерфейса есть кнопки Scan, Sniffer и Snooper, с помощью которых можно оценить, что делается в эфире. Есть ли на вашем девайсе аналоги?
Модель роутера в бухгалтерии какая? Если между роутером и сервером пинги ходят, то можно организовать VPN между ними. Еще конечно нужно проверить, ограничивается ли скорость (если нет, что считайте, что повезло). А провайдерский коммутатор лучше не трогайте, давать доступ клиентам к настройкам на провайдерском оборудовании - это из разряда фантастики.
Подробное логгирование посещений сайтов пользователями обычно реализуется с использованием какого-либо прокси-сервера. OpenVPN предназначен для решения совсем другой задачи - построения защищенных каналов связи поверх публичных.
Юрий, если випнет используется для организации туннеля, то это все упрощает. Насколько я знаю, випнет обычно туннелирует трафик, т.е. с точки зрения микротика он вообще не будет являться транзитным маршрутизатором, а выглядит, как обычное клиентское устройство. Поэтому его можно поставить "сбоку", выделить две подсети /30 для стыков микротика с випнетом, и добавить на микротике маршруты к нужным ресурсам через внутренний ip-адрес випнет-координатора. Тогда обычный трафик будет маршрутизироваться в Интернет через микротик напрямую, а тот, который адресован к защищенным ресурсам - маршрутизироваться на випнет, туннелироваться там, а дальше выходить уже в зашифрованном виде с внешнего ip-адреса випнета и далее маршрутизироваться в интернет через микротик подобно обычному трафик.
Действие из разряда "выстрел в ногу"... Очевидно, для полноценного ответа на вопрос нужен доступ к консоли. Если это виртуальный сервер на хостинге, то обычно там есть возможность получить доступ к ней. А, получив доступ, можно посмотреть, что случилось. Скорее всего, или система "забыла" назначенный ей ip-адрес, или доступ к нужным портам оказался заблокирован правилами firewall.
Если випнет-координатор ставится для обеспечения формальных требований к защищенности сети для госорганов, то схема с одним Микротиком может не устроить безопасников или проверяющих. По причине того, что сертифицированное оборудование, в данном случае випнет, должно обеспечивать физическое разделение защищенной сети от публичной, а если он стоит "сбоку" от маршрутизатора, в который сводятся и интернет, и локальная сеть, то это требование очевидно не обеспечивается. В моей практике был случай, когда я хотел реализовать аналогичную схему, но потом пришел випнетчик и заставил переделать (там вместо оборудования Mikrotik был Juniper SRX, но сути это не меняет).
А технически такую схему на Микротике скорее всего реализовать возможно, с помощью маркировки трафика, правил маршрутизации и VRF, но чтобы ответить точно, нужны подробности.
Zzzz9, я понял вопрос так, что нужно заблокировать весь исходящий трафик с собственного сервера с известным ip. Вопрос сформулирован не вполне однозначно.
ip route check 172.16.11.1
status: ok
interface:
nexthop: 172.16.25.2
Странно, что не показывается интерфейс, через который идет маршрутизация. По идее должно быть что-то. Или это сайт потерял обрамленную треугольными скобками строку?
Можно увидеть еще окно статуса этого l2tp-интерфейса? И какая версия routeros установлена?
Странно, что с одной стороны счетчик байт/пакетов в правиле почти нулевой, с другой - вполне заметные значения. Не может быть, что трафик попросту уходит куда-то не туда? Посмотреть бы таблицы маршрутизации полностью. И еще на каждом роутере можно дать команду в консоли, чтобы увидеть, как маршрутизируется конкретный адрес:
ip route check ip_из_целевой_подсети
И еще было бы неплохо посмотреть, на каком хосте затыкается трассировка с компьютеров с каждой стороны.
Возможно ли повесить два IP-адреса на один WAN-порт - зависит от того, как провайдер раздает Интернет. Наверное имеется ввиду, можно ли получить две разные услуги на одном порту? Скорее всего можно, но зависит от того, как конкретно провайдер предоставляет подключение.