Даже если так, то наверное не стоит давать рекомендации, ведущие к дальнейшему усугублению ситуации? ;) A TP-Link можно например прошить в OpenWRT и в этом случае с безопасностью все станет немного лучше, и появится возможность обеспечить доступ между сетями, просто прописав маршруты между сервером и роутером (при условии, что провайдер пропускает трафик), или, что более правильно, поднять IPSEC (правда tp-link выдаст единицы мегабит в шифровании).
P.S. Все когда-то были школьниками...
Я бы немного по другому сделал. Сейчас у вас два независимо друг от друга работающих роутера, их можно было бы заменить на один, поставив его рядом с провайдерским коммутатором. При этом TP-Link окажется вообще не нужен, а сервер, если он выполняет какие-либо задачи, помимо маршрутизации и выдачи ip-адресов по DHCP, можно оставить включенным в локальную сеть одним портом. Из оборудования наверное подойдет Mikrotik RB750Gr3, при условии, что тарифы на интернет не более примерно 300Мбит/с (столько он способен смаршрутизировать, если интернет раздается через PPPoE, а если провайдер не использует инкапсуляцию, то существенно больше). Порты настраиваются гибко, каждый порт может быть и LAN, и WAN, можно задействовать несколько каналов в интернет одновременно. Единственно, настройка с непривычки может показаться сложноватой (но фактически это всего-лишь переработанный интерфейс к стандартным сетевым возможностям Linux - маршрутизации, iptables и т.д.).
kapitansen, а веб-сервер какой и на чем работает? По крайней мере апач на линуксе без каких-либо проблем отдает файлы с юникодными сисволами по urlencoded ссылке (проверил это на вашем конкретном случае).
Веб-сервер по идее понимает urlencoded-ссылки и превращает их в нормальные имена файлов, когда кто-то по ним переходит. Хорошо бы в логах посмотреть, какой именно файл не находит веб-сервер. Или полностью привести вывод 404-й ошибки, если там есть эта инфа. В общем, нужно больше подробностей.
Может, погода? С микротиками на 60ГГц не приходилось сталкиваться, но слышал, что радиомосты на таких частотах плохо реагируют на сильные дождь или снег.
В обычных точках доступа Mikrotik в окне беспроводного интерфейса есть кнопки Scan, Sniffer и Snooper, с помощью которых можно оценить, что делается в эфире. Есть ли на вашем девайсе аналоги?
Модель роутера в бухгалтерии какая? Если между роутером и сервером пинги ходят, то можно организовать VPN между ними. Еще конечно нужно проверить, ограничивается ли скорость (если нет, что считайте, что повезло). А провайдерский коммутатор лучше не трогайте, давать доступ клиентам к настройкам на провайдерском оборудовании - это из разряда фантастики.
Подробное логгирование посещений сайтов пользователями обычно реализуется с использованием какого-либо прокси-сервера. OpenVPN предназначен для решения совсем другой задачи - построения защищенных каналов связи поверх публичных.
Юрий, если випнет используется для организации туннеля, то это все упрощает. Насколько я знаю, випнет обычно туннелирует трафик, т.е. с точки зрения микротика он вообще не будет являться транзитным маршрутизатором, а выглядит, как обычное клиентское устройство. Поэтому его можно поставить "сбоку", выделить две подсети /30 для стыков микротика с випнетом, и добавить на микротике маршруты к нужным ресурсам через внутренний ip-адрес випнет-координатора. Тогда обычный трафик будет маршрутизироваться в Интернет через микротик напрямую, а тот, который адресован к защищенным ресурсам - маршрутизироваться на випнет, туннелироваться там, а дальше выходить уже в зашифрованном виде с внешнего ip-адреса випнета и далее маршрутизироваться в интернет через микротик подобно обычному трафик.
Действие из разряда "выстрел в ногу"... Очевидно, для полноценного ответа на вопрос нужен доступ к консоли. Если это виртуальный сервер на хостинге, то обычно там есть возможность получить доступ к ней. А, получив доступ, можно посмотреть, что случилось. Скорее всего, или система "забыла" назначенный ей ip-адрес, или доступ к нужным портам оказался заблокирован правилами firewall.
Если випнет-координатор ставится для обеспечения формальных требований к защищенности сети для госорганов, то схема с одним Микротиком может не устроить безопасников или проверяющих. По причине того, что сертифицированное оборудование, в данном случае випнет, должно обеспечивать физическое разделение защищенной сети от публичной, а если он стоит "сбоку" от маршрутизатора, в который сводятся и интернет, и локальная сеть, то это требование очевидно не обеспечивается. В моей практике был случай, когда я хотел реализовать аналогичную схему, но потом пришел випнетчик и заставил переделать (там вместо оборудования Mikrotik был Juniper SRX, но сути это не меняет).
А технически такую схему на Микротике скорее всего реализовать возможно, с помощью маркировки трафика, правил маршрутизации и VRF, но чтобы ответить точно, нужны подробности.
Zzzz9, я понял вопрос так, что нужно заблокировать весь исходящий трафик с собственного сервера с известным ip. Вопрос сформулирован не вполне однозначно.
ip route check 172.16.11.1
status: ok
interface:
nexthop: 172.16.25.2
Странно, что не показывается интерфейс, через который идет маршрутизация. По идее должно быть что-то. Или это сайт потерял обрамленную треугольными скобками строку?
Можно увидеть еще окно статуса этого l2tp-интерфейса? И какая версия routeros установлена?
Странно, что с одной стороны счетчик байт/пакетов в правиле почти нулевой, с другой - вполне заметные значения. Не может быть, что трафик попросту уходит куда-то не туда? Посмотреть бы таблицы маршрутизации полностью. И еще на каждом роутере можно дать команду в консоли, чтобы увидеть, как маршрутизируется конкретный адрес:
ip route check ip_из_целевой_подсети
И еще было бы неплохо посмотреть, на каком хосте затыкается трассировка с компьютеров с каждой стороны.
Аппаратные контроллеры обычно запускают ребилд автоматически, если вместо сбойного диска вставить неразмеченный подходящих типа и объема. Если ребилд таким образом не запускается, то надо инициировать его вручную через BIOS контроллера или утилиту управления.
P.S. Все когда-то были школьниками...