kapitansen, а веб-сервер какой и на чем работает? По крайней мере апач на линуксе без каких-либо проблем отдает файлы с юникодными сисволами по urlencoded ссылке (проверил это на вашем конкретном случае).
Веб-сервер по идее понимает urlencoded-ссылки и превращает их в нормальные имена файлов, когда кто-то по ним переходит. Хорошо бы в логах посмотреть, какой именно файл не находит веб-сервер. Или полностью привести вывод 404-й ошибки, если там есть эта инфа. В общем, нужно больше подробностей.
Может, погода? С микротиками на 60ГГц не приходилось сталкиваться, но слышал, что радиомосты на таких частотах плохо реагируют на сильные дождь или снег.
В обычных точках доступа Mikrotik в окне беспроводного интерфейса есть кнопки Scan, Sniffer и Snooper, с помощью которых можно оценить, что делается в эфире. Есть ли на вашем девайсе аналоги?
Модель роутера в бухгалтерии какая? Если между роутером и сервером пинги ходят, то можно организовать VPN между ними. Еще конечно нужно проверить, ограничивается ли скорость (если нет, что считайте, что повезло). А провайдерский коммутатор лучше не трогайте, давать доступ клиентам к настройкам на провайдерском оборудовании - это из разряда фантастики.
Подробное логгирование посещений сайтов пользователями обычно реализуется с использованием какого-либо прокси-сервера. OpenVPN предназначен для решения совсем другой задачи - построения защищенных каналов связи поверх публичных.
Юрий, если випнет используется для организации туннеля, то это все упрощает. Насколько я знаю, випнет обычно туннелирует трафик, т.е. с точки зрения микротика он вообще не будет являться транзитным маршрутизатором, а выглядит, как обычное клиентское устройство. Поэтому его можно поставить "сбоку", выделить две подсети /30 для стыков микротика с випнетом, и добавить на микротике маршруты к нужным ресурсам через внутренний ip-адрес випнет-координатора. Тогда обычный трафик будет маршрутизироваться в Интернет через микротик напрямую, а тот, который адресован к защищенным ресурсам - маршрутизироваться на випнет, туннелироваться там, а дальше выходить уже в зашифрованном виде с внешнего ip-адреса випнета и далее маршрутизироваться в интернет через микротик подобно обычному трафик.
Действие из разряда "выстрел в ногу"... Очевидно, для полноценного ответа на вопрос нужен доступ к консоли. Если это виртуальный сервер на хостинге, то обычно там есть возможность получить доступ к ней. А, получив доступ, можно посмотреть, что случилось. Скорее всего, или система "забыла" назначенный ей ip-адрес, или доступ к нужным портам оказался заблокирован правилами firewall.
Если випнет-координатор ставится для обеспечения формальных требований к защищенности сети для госорганов, то схема с одним Микротиком может не устроить безопасников или проверяющих. По причине того, что сертифицированное оборудование, в данном случае випнет, должно обеспечивать физическое разделение защищенной сети от публичной, а если он стоит "сбоку" от маршрутизатора, в который сводятся и интернет, и локальная сеть, то это требование очевидно не обеспечивается. В моей практике был случай, когда я хотел реализовать аналогичную схему, но потом пришел випнетчик и заставил переделать (там вместо оборудования Mikrotik был Juniper SRX, но сути это не меняет).
А технически такую схему на Микротике скорее всего реализовать возможно, с помощью маркировки трафика, правил маршрутизации и VRF, но чтобы ответить точно, нужны подробности.
Zzzz9, я понял вопрос так, что нужно заблокировать весь исходящий трафик с собственного сервера с известным ip. Вопрос сформулирован не вполне однозначно.
ip route check 172.16.11.1
status: ok
interface:
nexthop: 172.16.25.2
Странно, что не показывается интерфейс, через который идет маршрутизация. По идее должно быть что-то. Или это сайт потерял обрамленную треугольными скобками строку?
Можно увидеть еще окно статуса этого l2tp-интерфейса? И какая версия routeros установлена?
Странно, что с одной стороны счетчик байт/пакетов в правиле почти нулевой, с другой - вполне заметные значения. Не может быть, что трафик попросту уходит куда-то не туда? Посмотреть бы таблицы маршрутизации полностью. И еще на каждом роутере можно дать команду в консоли, чтобы увидеть, как маршрутизируется конкретный адрес:
ip route check ip_из_целевой_подсети
И еще было бы неплохо посмотреть, на каком хосте затыкается трассировка с компьютеров с каждой стороны.
Аппаратные контроллеры обычно запускают ребилд автоматически, если вместо сбойного диска вставить неразмеченный подходящих типа и объема. Если ребилд таким образом не запускается, то надо инициировать его вручную через BIOS контроллера или утилиту управления.