HawK: Комментарий Евгений Быченко правильный. В случае с адрес-листами ваших внутренних сетей, при маршрутизации траффика из одной в другую будет происходить НАТ, и в сетке назначения все запросы будут видеться от адреса маршрутизатора. Поэтому создайте интерфейс-лист ваших WAN-интерфейсов и подставьте его в единственное правило masquerade в out interface list. Тогда между вашими внутренними сетями останется чистая маршрутизация, а наружу всё будет src-nat'иться
Евгений Яловой: Для того, чтобы это корректно рабоало, микротик должен быть днс-сервером для этих машин. Убедитесь, что галка allow remote request в ip-dns стоит, уменьшите cache max ttl до 5 минут. Если по-прежнему сложности, сделайте в нате правило
/ip firewall nat
add chain=dstnat src-address-list=restrict protocol=udp dst-port=53 action=redirect
ruskella: важно понять, что КАЖДЫЙ пакет проходит цепочки в одном и том же порядке. Прилетает к нам пакет на интерфейс - прероутинг-форвард-простроутинг - и улетел в другой интерфейс. С другого интерфейса летит ответ - прероутинг-форвард-построутинг - и улетает обратно. Это если вкратце. Подробно схема движения пакетов рассматривается в курсе MTCTCE.
ruskella: рассмотрите схему внимательно. Решение о маршрутизации у нас принимается в прероутинге и в аутпуте. Мы метим маршрут ДО принятия решения о маршрутизации, иначе это бессмысленно. Соединения метить без разницы где, но у одного и того же коннекшна в разных цепочках могут быть разные матчеры. Будьте внимательны и осторожны ))
HawK: делается это с помощью значений scope и target-scope в маршрутах. Посмотрите презентаху, я как раз в ней определяю доступность 8.8.8.8 через основного провайдера.
Оповечать нетвотчем можно. Кстати, вместо громоздкой команды удаления файла, добавьте к fetch после ссылки keep-result=no, и файл даже не будет создаваться
Откройте mikrotik packet flow v6 и посмотрите. Абсолютно все пакеты проходят prerouting. В нём также живёт dst-nat. После этого принимается решение о маршрутизации и пакет попадает либо в инпут, либо в форвард. Если это инпут – значит, ответ попадает в output, после чего опять принимается решение о маршрутизации. После этого все пакеты попадают в postrouting, где при необходимости претерпевают src-nat, затем очереди.
Дмитрий: В вашей статье описан ICMP-knocking. И если с настольного компьютера в таком случае можно (и нужно) использовать командную строку, то попробуйте без доп.софта простучаться с андроида, например.
У абонента с интернетом должен быть настроен маршрут в домашнюю сеть абонента с локалкой через туннель, либо у абонента с локалкой должен быть включен маскарад на туннель
