Дмитрий Скоромнов

Когда Вам надо работать с VLAN'ами

Есть три разных способа настроить VLAN. Создание /interface vlan и последующее объединение через bridge является самым не рекомендуемым в любых условиях. По сути есть четыре возможные ситуации:
1. Базовый свич-чип без поддержки VLAN
2. Базовый свич-чип с поддержкой VLAN
3. Коммутаторы CRS1xx/CRS2xx
4. Коммутаторы CRS3xx

В зависимости от конкретной ситуации рекомендуемый способ настройки будет изменяться. Но в любом случае настройка через /interface vlan является самым плохим вариантом.

Не надо настраивать другие маршруты через которые может быть доступ в Интернет.

Сделайте выгрузку /ip firewall export

Без нее не понятно, что и как. Скриншоты не отображают всю информацию.

Максим, Ваша схема не однозначно понятно. Рекомендую ее нарисовать или хотя бы описать вот в таком виде. Я понял так:

сеть №1 -- MikroTik -- Интернет -- VPN-сервер -- сеть №2

Если так, то Вам надо на МикроТике прописать маршрут до сети №2, а на VPN-сервер прописать маршрут до сети №1. Это если обе сети должны видеть друг друга.

Могу предположить, что у Вас сейчас уже есть какие-то настройки. Если исходить из этого, то рекомендую так:

1. Сбросить все настройки на заводские.
2. Настроить Wi-Fi.
3. Объединить проводные и беспроводные интерфейсы с помощью bridge'а.

Я думаю, что Вам нужен проброс портов на MikroTik.
Так же уточнить у Вас Интернет каналы настроены в режиме балансировки или в режиме резервирования?

Рекомендую выложить конфигурацию целиком.

В списке протоколов есть сразу protocol=ipip. Для этого и других протоколов можно посмотреть здесь: http://mikrotik.vetriks.ru/wiki/Межсетевой_экран:С...

Посмотрите здесь: mikrotik.vetriks.ru .

Если все верно настроить, то несколько клиентов по одному порту подключаться точно смогут. Посмотрите корректную настройку проброса: Для_http://mikrotik.vetriks.ru/wiki/начинающих:Проброс...

Дмитрий Шицков верно сказал, что для этого нужен HairpinNAT. Но советую начать с того, что сделать правильный проброс портов. Его правильно делать через другое действие. NETmap служит для других целей.

Посмотрите здесь: http://mikrotik.vetriks.ru/wiki/Для_начинающих:Про...

Файрвол в целом настроен неверно. Ошибок много. Попробую привести часть.

Первым правилом для цепочек Input и Forward надо ставить правило разрешающее established & related трафик. Если это не сделать, то будет сильная нагрузка на процессор. Почему так развернуто объясняется здесь: https://www.youtube.com/watch?v=HMpp83VoQfs&t=37s&... . Если кратко, то чем через меньшее количество правил пройдет пакет, тем меньше нагрузка на ЦП маршрутизатора.

Вы сделали много правил для исключений для пробросов портов. Все это можно сократить с помощью инверсии. Так: add action=drop chain=forward connection-nat-state=!dstnat in-interface=!bridge-LAN . Таким образом будет запрещено все кроме проброса портов.

И многое другое ...

Еще может мешать файрвол.

Есть еще вариант, что прошивка не подходит для Вашего устройства. Для RB2011 это MIPSBE.

Рекомендую начать с правильной настройки файрвола. Первым делом поставить правило разрешающее established & related трафик. Далее запретить invalid. В конце сделать запрещающее все правило, если файрвол нормально закрытый. А между ними сделать разрешающий. И уже после этого смотреть что и как.

Предлагаю зайти с другого края. А зачем Вам надо, что бы могли подключаться пользователи, которые все равно не смогут пользоваться сетью? Или они смогут работать в локальной сети и ничего больше?

И на всякий случай уточните сразу: речь идет только про беспроводные устройства или про проводные тоже?