StanHD, вообще говоря, любой безопасник-сетевик вам скажет, что защищенная сеть не должна находиться в одном физическом сегменте с открытой. Поместите всю сеть за координатор, хуже точно не будет. Но какая все-таки задача? Для чего заведено несколько подсетей? Из-за того, что одной подсети мало, или исходя из необходимости разграничить доступ?
Сергей, я знаю, что петля через точку доступа - это нетипичная ситуация, но в моей практике такое бывало пару раз. Это возможно, если одна из точек доступа настроена не как Access Point, а как Client или еще как-то нестандартно.
Интернет, в интернете не используется MTU > 1500. Не вполне понимаю, какая схема у вас используется, но попробуйте "поиграть" значением MTU в сторону уменьшения. Также проблема может быть, если где-то заблокирован протокол ICMP, с помощью которого роутеры сообщают о необходимости фрагментации слишком больших пакетов.
Пинг до проблемных сайтов со второго роутера проходит? А если выставить размер пакета 1500 байт? Если первое да, второе - нет, то где-то есть ограничение MTU.
Посмотреть бы вывод команд как на скриншоте (в последней MTU подставить равным тому, который установлен на интерфейсе, через который трафик маршрутизируется в интернет)
В ситуации, когда в одном физическом сегменте используются две подсети и три разных шлюза по умолчанию, можно словить труднорешаемые проблемы с маршрутизацией. Например при асимметричном прохождении трафика, когда на какой-то хост трафик приходит с одного шлюза, а уходит через другой (как раз ваша ситуация). Изменением масок тут проблему, думаю, не решить, попробуйте реорганизовать сетевую адресацию так, чтобы те компьютеры, которые используют випнет-координатор в качестве шлюза, были в отдельной подсети. И при этом понадобится еще прописать маршрут в эту подсеть на роутере Netgear (если конечно он вообще это умеет). А DHСP тут не при чем.
DeNick, ограничений по количеству dhcp-записей нет, по крайней мере 70 - это точно допустимое количество. А для тестов скачайте и запустите на виртуалбоксе образ Mikrotik CHR, интерфейс и функционал там будут практически те же самые, что и роутера, который я посоветовал выше.
DeNick, для того чтобы раздавать файлы и ip-адреса, серверу достаточно только одного порта, смотрящего в локальную сеть. Если вы уберете задачу по маршрутизацию трафика с сервера, то у вас останется один роутер вместо двух, что существенно упростит администрирование. Также ничего не мешает перенести DHCP-сервер на Микротик, там управление выдачей ip-адресов реализовано вполне удобно. Если бы на сервере была установлена винда и контроллер домена, то еще был бы какой-то смысл держать там и DHCP-сервер. А в остальном все правильно поняли.
Возможно ли повесить два IP-адреса на один WAN-порт - зависит от того, как провайдер раздает Интернет. Наверное имеется ввиду, можно ли получить две разные услуги на одном порту? Скорее всего можно, но зависит от того, как конкретно провайдер предоставляет подключение.
Даже если так, то наверное не стоит давать рекомендации, ведущие к дальнейшему усугублению ситуации? ;) A TP-Link можно например прошить в OpenWRT и в этом случае с безопасностью все станет немного лучше, и появится возможность обеспечить доступ между сетями, просто прописав маршруты между сервером и роутером (при условии, что провайдер пропускает трафик), или, что более правильно, поднять IPSEC (правда tp-link выдаст единицы мегабит в шифровании).
P.S. Все когда-то были школьниками...
Я бы немного по другому сделал. Сейчас у вас два независимо друг от друга работающих роутера, их можно было бы заменить на один, поставив его рядом с провайдерским коммутатором. При этом TP-Link окажется вообще не нужен, а сервер, если он выполняет какие-либо задачи, помимо маршрутизации и выдачи ip-адресов по DHCP, можно оставить включенным в локальную сеть одним портом. Из оборудования наверное подойдет Mikrotik RB750Gr3, при условии, что тарифы на интернет не более примерно 300Мбит/с (столько он способен смаршрутизировать, если интернет раздается через PPPoE, а если провайдер не использует инкапсуляцию, то существенно больше). Порты настраиваются гибко, каждый порт может быть и LAN, и WAN, можно задействовать несколько каналов в интернет одновременно. Единственно, настройка с непривычки может показаться сложноватой (но фактически это всего-лишь переработанный интерфейс к стандартным сетевым возможностям Linux - маршрутизации, iptables и т.д.).
kapitansen, а веб-сервер какой и на чем работает? По крайней мере апач на линуксе без каких-либо проблем отдает файлы с юникодными сисволами по urlencoded ссылке (проверил это на вашем конкретном случае).
Веб-сервер по идее понимает urlencoded-ссылки и превращает их в нормальные имена файлов, когда кто-то по ним переходит. Хорошо бы в логах посмотреть, какой именно файл не находит веб-сервер. Или полностью привести вывод 404-й ошибки, если там есть эта инфа. В общем, нужно больше подробностей.
Может, погода? С микротиками на 60ГГц не приходилось сталкиваться, но слышал, что радиомосты на таких частотах плохо реагируют на сильные дождь или снег.
В обычных точках доступа Mikrotik в окне беспроводного интерфейса есть кнопки Scan, Sniffer и Snooper, с помощью которых можно оценить, что делается в эфире. Есть ли на вашем девайсе аналоги?
Модель роутера в бухгалтерии какая? Если между роутером и сервером пинги ходят, то можно организовать VPN между ними. Еще конечно нужно проверить, ограничивается ли скорость (если нет, что считайте, что повезло). А провайдерский коммутатор лучше не трогайте, давать доступ клиентам к настройкам на провайдерском оборудовании - это из разряда фантастики.
Подробное логгирование посещений сайтов пользователями обычно реализуется с использованием какого-либо прокси-сервера. OpenVPN предназначен для решения совсем другой задачи - построения защищенных каналов связи поверх публичных.
