Юрий, если випнет используется для организации туннеля, то это все упрощает. Насколько я знаю, випнет обычно туннелирует трафик, т.е. с точки зрения микротика он вообще не будет являться транзитным маршрутизатором, а выглядит, как обычное клиентское устройство. Поэтому его можно поставить "сбоку", выделить две подсети /30 для стыков микротика с випнетом, и добавить на микротике маршруты к нужным ресурсам через внутренний ip-адрес випнет-координатора. Тогда обычный трафик будет маршрутизироваться в Интернет через микротик напрямую, а тот, который адресован к защищенным ресурсам - маршрутизироваться на випнет, туннелироваться там, а дальше выходить уже в зашифрованном виде с внешнего ip-адреса випнета и далее маршрутизироваться в интернет через микротик подобно обычному трафик.
Действие из разряда "выстрел в ногу"... Очевидно, для полноценного ответа на вопрос нужен доступ к консоли. Если это виртуальный сервер на хостинге, то обычно там есть возможность получить доступ к ней. А, получив доступ, можно посмотреть, что случилось. Скорее всего, или система "забыла" назначенный ей ip-адрес, или доступ к нужным портам оказался заблокирован правилами firewall.
Если випнет-координатор ставится для обеспечения формальных требований к защищенности сети для госорганов, то схема с одним Микротиком может не устроить безопасников или проверяющих. По причине того, что сертифицированное оборудование, в данном случае випнет, должно обеспечивать физическое разделение защищенной сети от публичной, а если он стоит "сбоку" от маршрутизатора, в который сводятся и интернет, и локальная сеть, то это требование очевидно не обеспечивается. В моей практике был случай, когда я хотел реализовать аналогичную схему, но потом пришел випнетчик и заставил переделать (там вместо оборудования Mikrotik был Juniper SRX, но сути это не меняет).
А технически такую схему на Микротике скорее всего реализовать возможно, с помощью маркировки трафика, правил маршрутизации и VRF, но чтобы ответить точно, нужны подробности.
Zzzz9, я понял вопрос так, что нужно заблокировать весь исходящий трафик с собственного сервера с известным ip. Вопрос сформулирован не вполне однозначно.
ip route check 172.16.11.1
status: ok
interface:
nexthop: 172.16.25.2
Странно, что не показывается интерфейс, через который идет маршрутизация. По идее должно быть что-то. Или это сайт потерял обрамленную треугольными скобками строку?
Можно увидеть еще окно статуса этого l2tp-интерфейса? И какая версия routeros установлена?
Странно, что с одной стороны счетчик байт/пакетов в правиле почти нулевой, с другой - вполне заметные значения. Не может быть, что трафик попросту уходит куда-то не туда? Посмотреть бы таблицы маршрутизации полностью. И еще на каждом роутере можно дать команду в консоли, чтобы увидеть, как маршрутизируется конкретный адрес:
ip route check ip_из_целевой_подсети
И еще было бы неплохо посмотреть, на каком хосте затыкается трассировка с компьютеров с каждой стороны.
Аппаратные контроллеры обычно запускают ребилд автоматически, если вместо сбойного диска вставить неразмеченный подходящих типа и объема. Если ребилд таким образом не запускается, то надо инициировать его вручную через BIOS контроллера или утилиту управления.