Насколько я знаю, ALG для PPTP еще и модифицирует трафик в управляющем TCP-соединении, таким образом, чтобы удаленный PPTP-сервер знал, что GRE-пакеты нужно слать не на условный 192.168.1.2 (адрес клиента за NAT), а на внешний ip-адрес роутера.
А сам роутер без экрана работает нормально? Кстати, экран дает существенную дополнительную нагрузку на CPU роутера, а в ранних релизах RouterOS для RB2011 при включенном экране вообще периодически падали линки на портах. В итоге отключал его везде.
Теоретически на ней мог бы завестись процессор Phenom или Phenom II, но в списке совместимых их нет. В интернете есть упоминания о существовании неофициальных BIOS, которые добавляют поддержку этих процессоров, но без ссылок. Когда-то у меня была материнка Palit N68S, для которой поддержка таких процессоров заявлена не была, но удалось добавить ее в биос самостоятельно, обновив модуль AGESA с помощью утилит для манипулирования модулями BIOS (подробностей за давностью уже не помню, кроме того, что использовал CBROM), после чего Phenom стал нормально определяться и работать.
Некоторые модули Asterisk чувствительны к просадкам производительности, поэтому при запуске IP-АТС в виртуальной машине на нагруженном хосте возможны разные неприятные сюрпризы.
StanHD, вообще говоря, любой безопасник-сетевик вам скажет, что защищенная сеть не должна находиться в одном физическом сегменте с открытой. Поместите всю сеть за координатор, хуже точно не будет. Но какая все-таки задача? Для чего заведено несколько подсетей? Из-за того, что одной подсети мало, или исходя из необходимости разграничить доступ?
Сергей, я знаю, что петля через точку доступа - это нетипичная ситуация, но в моей практике такое бывало пару раз. Это возможно, если одна из точек доступа настроена не как Access Point, а как Client или еще как-то нестандартно.
Интернет, в интернете не используется MTU > 1500. Не вполне понимаю, какая схема у вас используется, но попробуйте "поиграть" значением MTU в сторону уменьшения. Также проблема может быть, если где-то заблокирован протокол ICMP, с помощью которого роутеры сообщают о необходимости фрагментации слишком больших пакетов.
Пинг до проблемных сайтов со второго роутера проходит? А если выставить размер пакета 1500 байт? Если первое да, второе - нет, то где-то есть ограничение MTU.
Посмотреть бы вывод команд как на скриншоте (в последней MTU подставить равным тому, который установлен на интерфейсе, через который трафик маршрутизируется в интернет)
В ситуации, когда в одном физическом сегменте используются две подсети и три разных шлюза по умолчанию, можно словить труднорешаемые проблемы с маршрутизацией. Например при асимметричном прохождении трафика, когда на какой-то хост трафик приходит с одного шлюза, а уходит через другой (как раз ваша ситуация). Изменением масок тут проблему, думаю, не решить, попробуйте реорганизовать сетевую адресацию так, чтобы те компьютеры, которые используют випнет-координатор в качестве шлюза, были в отдельной подсети. И при этом понадобится еще прописать маршрут в эту подсеть на роутере Netgear (если конечно он вообще это умеет). А DHСP тут не при чем.
DeNick, ограничений по количеству dhcp-записей нет, по крайней мере 70 - это точно допустимое количество. А для тестов скачайте и запустите на виртуалбоксе образ Mikrotik CHR, интерфейс и функционал там будут практически те же самые, что и роутера, который я посоветовал выше.
DeNick, для того чтобы раздавать файлы и ip-адреса, серверу достаточно только одного порта, смотрящего в локальную сеть. Если вы уберете задачу по маршрутизацию трафика с сервера, то у вас останется один роутер вместо двух, что существенно упростит администрирование. Также ничего не мешает перенести DHCP-сервер на Микротик, там управление выдачей ip-адресов реализовано вполне удобно. Если бы на сервере была установлена винда и контроллер домена, то еще был бы какой-то смысл держать там и DHCP-сервер. А в остальном все правильно поняли.
Возможно ли повесить два IP-адреса на один WAN-порт - зависит от того, как провайдер раздает Интернет. Наверное имеется ввиду, можно ли получить две разные услуги на одном порту? Скорее всего можно, но зависит от того, как конкретно провайдер предоставляет подключение.
Даже если так, то наверное не стоит давать рекомендации, ведущие к дальнейшему усугублению ситуации? ;) A TP-Link можно например прошить в OpenWRT и в этом случае с безопасностью все станет немного лучше, и появится возможность обеспечить доступ между сетями, просто прописав маршруты между сервером и роутером (при условии, что провайдер пропускает трафик), или, что более правильно, поднять IPSEC (правда tp-link выдаст единицы мегабит в шифровании).
P.S. Все когда-то были школьниками...
Я бы немного по другому сделал. Сейчас у вас два независимо друг от друга работающих роутера, их можно было бы заменить на один, поставив его рядом с провайдерским коммутатором. При этом TP-Link окажется вообще не нужен, а сервер, если он выполняет какие-либо задачи, помимо маршрутизации и выдачи ip-адресов по DHCP, можно оставить включенным в локальную сеть одним портом. Из оборудования наверное подойдет Mikrotik RB750Gr3, при условии, что тарифы на интернет не более примерно 300Мбит/с (столько он способен смаршрутизировать, если интернет раздается через PPPoE, а если провайдер не использует инкапсуляцию, то существенно больше). Порты настраиваются гибко, каждый порт может быть и LAN, и WAN, можно задействовать несколько каналов в интернет одновременно. Единственно, настройка с непривычки может показаться сложноватой (но фактически это всего-лишь переработанный интерфейс к стандартным сетевым возможностям Linux - маршрутизации, iptables и т.д.).
