MaxKozlov, да, судя по всему mikrotik сравнивает email( вероятно, это дефолтное поведение которое можно изменить, но было проще сменить email ). При одинаковых полях email наблюдается именно такое поведение, клиенты друг друга выкидывают с советующей записью в логе.
Это не совсем так. Политики завязаны на ip адреса клиентов, но это не обязательно "внешние" адреса. Mikrotik корректно работает с nat-t. У меня работает схема в которой строится три ipsec туннеля через одни серый адрес( к одному публичному три устройства выходящие в wan через одного из них ). Я сталкивался с этой проблемой в двух конфигурациях, первая чистый IPsec, и там проблема была в id клиента( два сертификата с идентичными полями email ) и именно в ipsec+l2tp и nat. Как в таком случае решать проблему я не подскажу.
Что именно вы хотите сделать?
По динамическим ip обычно подразумевают ip получаемый по dhcp от внешнего источника.
Для этого достаточно поднять dhcp клиент на каждом из указанных портов и исключить их из bridge.
Но судя по комментариям вам нужно что-то другое. В чем именно состоит задача и что вы подразумеваете под динамическим ip?
А оно вам надо? Почтовик внутри организации, это или на коленке, работает хоть как-то и славу богу, или дорого, сложно, кластеры и постоянное обслуживание.
Реально дешевле иметь почтовик по подписке или даже бесплатный на яндексе.
Это странно, по идее это разные подсети и они в любом случае уходят на уровень софтового роутера, а не разрешаются на l2 уровне бриджа. Уверены, что нет никаких других правил по которым мог бы пройти данный трафик?
Сами VLAN порты у вас в бридж включены? Скиньте настройки vlan, хотя бы скринами.
Это достаточно сложно и требует хорошего понимания маршрутизации и работы ipsec.
Рекомендую вам упростить схему и добавить к ipsec туннельный протокол реализующий интерфейс, например ipip или gre.
Тогда ipsec у вас будет защищать именно не защищенный туннельный трафик, а все вокруг вы реализуете уже стандартными методами.
0UTS1D3R, в том смысле, что подобные компании продают вашу экспертизу, у вас её нет. Значит они или приставляют к вам ментора, который за вас отвечает, но где они его на 3 дня в неделю возьмут и кого они оставшиеся четыре будут продавать, или продают того чего нет рассчитывая, что прокатит. Второй вариант говорит о том, что компания обманывает своих клиентов. И так не бывает, что компания клиентов старается обмануть, а с сотрудниками честна и прозрачна, это стиль мышления руководства и он проявляется в компании во всех аспектах.
ИМХО в ИТ войти без вложений в себя достаточно сложно, я бы вам рекомендовал попробовать обучение/стажировка в epam, прочитать пару книг, подтянуть python и английский до a2, и постараться попасть к ним на курс devops. Но надо понимать это примерно полгода-год без денег.
Резол по lan ip идет вне зависимости от метрик интерфейсов. Просто в DNS у вас прописан lan ip для целевого узла.
Когда вы lan отключаете, у вас dns становится недоступен и узел пытается резолвить имя через netbios, что у него судя по все успешно получается и трафик идет уже в прямой интерфейс.