Кирилл 1: ну вот я про промежуточную сеть и говорю. Это действительно лучшее =) Можете просто на микроитике и на роутере назначить по доп IP адресу на интерфейсы (и использовать его в маршруте) и всё заработает.
Денис Ручьев: ну хз, тачка быстрая, ставил сразу 10-тку, не знаю как бы на ней вела себя, скажем, семёрка. Но в целом ок. Диск только что-то всё время дёргает, имхо "не по делу".
Кирилл Казаков: смотрите какие правила должны быть:
iptables -t nat -A PREROUTING -d 205.254.211.17 -j DNAT --to-destination 192.168.100.17
iptables -t nat -A POSTROUTING -s 192.168.100.17 -j SNAT --to-destination 205.254.211.17
во втором правиле директивы не те
Шамиль: на вкладке с действием правила у вас есть галка, включающая логирование пакетов проходящих через него. https://yadi.sk/i/ZQj7rydnhde4n
к сожалению не знаю в каком релизе появилась эта фича, но где-то в середине 6-ой ветки она точно есть (это я к тому, что возможно нужно обновиться)
JaHher: создать правило в таблице NAT с действием Accept.
Берёте виртуалку и начинаете учиться. Микротик прекрасно работает внутри виртуалбокса. Каждая машина сможет работать 40-к часов непрерывно (или кучу времени с откатом назад или приостановками).
Задавая вопросы (просто задавая вопросы) на тостере не научится настраивать маршрутизацию по туннелям. Нужно обязательно пробовать и черпать знания в других источниках.
JaHher: такс, давай код я не буду писать, мне лень сверяться с консолью, но вот что нужно сделать:
На основном:
1. Поднимает l2tp сервер (или GRE туннель), настаиваем профиль подключения, добавляем пользователя или пользователей ppp
2. Разрешаем трафик до VPN сервера (входящий на 1701 порт для l2tp, 4500 и 500 для ipsec, GRE - для угадай чего)
3. Разрешаем исходящий
4. Исключаем из NAT трафик между сетями (всеми локальными и транзитными)
5. Добавляешь маршрут до сети клиентского устройства, где шлюз, через которую эта сеть достижима будет адрес клиентского микротика внутри туннеля
На любом клиентском ситуация такая:
1. Если у тебя локальная сеть 10.0.0.0/24, то транзитная сеть (та что будет идти в туннеле) должны быть иной, например 10.1.0.0/24.
2. Создаёшь в интерфейсах l2tp клиента (или GRE туннель), натравливаешь его на основной белый адрес, указываешь реквизиты доступа. Для l2tp адреса сети в туннели он получить от основного, для GRE прописываешь адреса с обоих сторон сам.
3. Разрешаешь трафик входящий, исходящий и выкидываешь такой трафик из НАТ.
4. Добавляешь маршрут на клиентском до сети основного устройства, где шлюз, через которую эта сеть достижима будет адрес основного микротика внутри туннеля
Всё для начала готово, трафик между устройствами внутри сети клиентского микротика и устройствами внутри сети основного должен пойти.
Второй этап это поворот нужного тебе трафика через интернет на основном, к нему подойдём после того как это сейчас сделаешь.
