похоже на то, что проблема со стороны фортигейта, толи он некорректно работает с gre, толи я что-то криво настроил (что вероятнее всего). пока бросил это дело. остановился на варианте ipsec туннеля
при настройке mangle указывал, что маркировать только пакеты у которых source address 192.168.10.0/24, поэтому доступ к микротику из сети 192.168.11.0/24 не пропал
спасибо, варианты отличные, но не мой случай.
1) версия по на моём zyxel еще этого не может
2) согласен с этим вариантом, скорее всего в ближайшее время буду его применять. но пока временно применил другое решение.
топология такая, потому что не хотел менять существующую и как временное решение воткнуть в сеть микротик, поднять впн, и через впн сделать доступ в локальную сеть главного офиса. существующий доступ в интернет трогать не стал, оставил все как есть
Sand,
C:\Windows\system32>tracert 192.168.10.79
Трассировка маршрута к *** [192.168.10.79]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.11.5
2 * * * Превышен интервал ожидания для запроса.
3 25 ms 23 ms 22 ms *** [192.168.10.79]
Трассировка завершена.
C:\Users\dsn>tracert 192.168.11.119
Трассировка маршрута к 192.168.11.119 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.10.1
2 2 ms 1 ms 1 ms 192.168.11.5
3 2 ms 2 ms 5 ms 192.168.11.119
Трассировка завершена.
Sand, да, в главном офисе 192.168.10.0/24 и 192.168.11.0/24 в филиале соответственно. в филиале шлюзом стоит 192.168.11.1 на котором прописан маршрут для DST address 192.168.10.0/24 отправлять на микротик с которого и поднят vpn.
