Как настроить доверительные отношения между доменами на ws2k8r2 и ws2k12r2 в одной подсети?

Прямые и обратные зоны настроены, то есть оба днс сервера доменов имеют записи о друг друга в прямых записях и прописана PTR запись в обратной зоне

Как настроить доверительные отношения между доменами на ws2k8r2 и ws2k12r2 в одной подсети?

Да пересылка настроена на обоих серверах у rogakopita.ru в пересылке указан ip адрес babruisk.ru и соответственно у babruisk.ru указан ip адрес rogakopita.ru

Как настроить доверительные отношения между доменами на ws2k8r2 и ws2k12r2 в одной подсети?

yellowmew: rogakopita.ru и babruisk.ru - это домены с установленными и настроенными AD и DNS.
Сетевые настройки Домен №1 - rogakopita.ru (старый домен), платформа ws2k8r2:
ip: 192.168.128.1
mask: 255.255.240.0/20
GW: 192.168.128.3 - (шлюз с dhcp)
primary dns: 192.168.128.1
alternative dns: 192.168.128.2 - (babruisk.ru)

Сетевые настройки Домен №2 - babruisk.ru (новый домен), платформа ws2k12r2:
ip: 192.168.128.2
mask: 255.255.240.0/20
GW: 192.168.128.3 - (шлюз с dhcp)
primary dns: 192.168.128.2
alternative dns: 192.168.128.1 - (rogakopita.ru)

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

Vladimir Zhurkin: Да, Вы правы - частные сети, в мой анализ это не попало )))
В режиме rp_filter no все работает (опять же с отключенным брандмауэром)
В вирт машинах в основном и тестирую, просто у микротика есть свободные порты, да и всегда можно откатиться назад при наличии бэкапов.
Во время решения этой проблемы прочел не мало про VLAN и он меня заинтересовал, тем более с тем кол-вом ip адресов на моей работе, что он мне просто не обходим.
Сейчас начну копать в сторону маркировки пакетов и работой с ними, а так же с фильтрацией трафика в VLAN.

С одной стороны, в оправдание себя:
У меня уже был случай с нашим провайдером и VLAN на их стороне. У нас с провайдером очень тесные взаимосвязи, они нам предоставляют КПД между нашими филиалами по городу и даже по объекту. Осуществляют они это через VLAN внутри их сети.
Так вот была ситуация, пинги ходят а DHCP (67, 68 UDP) и DNS (53 TCP/UDP) не ходят, канал был до дальнего помещения с одним рабочим компом, провайдер разводил руками и не понимал в чем проблема. Я вручную прописал настройки и все работало. Затем через пару месяцев я еще раз их попросил напречься и решить вопрос, в итоге все заработало, как и на остальных объектах.
Суть в том что и в этот раз я начал грешить на VLAN и настройки с ним связанные.

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

Vladimir Zhurkin: Прикол в том что у меня есть две подсети /12 и /20, они видят друг друга через туннель GRE настроенный на 2-ух Микротиках, на всех машинах настроен и включен брандмауэр на некоторых с некоторыми изменениями. Но все они могут пинговаться из двух этих сетей, пинги по умолчанию в брандмауэре не блокируются. Видимо причина все же в VLAN в теггировании пакетов. Буду разбираться и проверять все протоколы.
Еще раз спасибо за помощь! Вы один из немногих адекватных помощников )))

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

Vladimir Zhurkin: Как так? @#$% одни эмоции!!!
Решение нашел - отключил брандмауэр на двух осях и все пинги пошли.
Такое в широковещательном домене не нужно делать, пинги ходят и со включенным брандмауэре.
*face_palm* вот я тупил ))) Буду разбираться с брандмауэром.

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

Vladimir Zhurkin: Владимир, заранее Благодарю за помощь!!! ))) Вы очень мне помогаете.
Сейчас на виртуалке подниму 2 Debian(а) и посмотрю что получается. Сейчас на одном стоит Win10, а на другом WSrvStd2012r2.

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

Vladimir Zhurkin: Может и в правду проблема в Firewall filter:

Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; TO_xxxxxx_WINBOX_from_HOME
      chain=input action=accept protocol=tcp src-address=x.x.x.x 
      in-interface=eth1-WAN dst-port=xxxx log=no log-prefix="" 

 1    ;;; TO_PDC
      chain=input action=accept protocol=tcp in-interface=eth1-WAN 
      dst-port=xxxxx log=no log-prefix="" 

 2    ;;; TO_MAIL_SSH
      chain=input action=accept protocol=tcp in-interface=eth1-WAN 
      dst-port=xxxxx log=no log-prefix="" 

 3    ;;; TO_WEB_SSH
      chain=input action=accept protocol=tcp in-interface=eth1-WAN 
      dst-port=xxxxx log=no log-prefix="" 

 4    ;;; TO_BASE_SSH
      chain=input action=accept protocol=tcp in-interface=eth1-WAN 
      dst-port=xxxxx log=no log-prefix="" 

 5    ;;; allow established connection
      chain=forward action=accept log=no log-prefix="" 

 6    ;;; allow established connection
      chain=forward action=accept connection-state=established log=no 
      log-prefix="" 

 7    ;;; allow related connection
      chain=forward action=accept connection-state=related log=no log-prefix="" 

 8    ;;; drop invalid connection
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

 9    ;;; DROP_TELNET_23
      chain=input action=drop protocol=tcp in-interface=eth1-WAN dst-port=23 
      log=no log-prefix="ddos" 

10    ;;; DROP_WINBOX_8291
      chain=input action=drop protocol=tcp in-interface=eth1-WAN dst-port=8291 
      log=no log-prefix="ddos" 

11    ;;; DROP_SSH_22
      chain=input action=drop protocol=tcp in-interface=eth1-WAN dst-port=22 
      log=no log-prefix="ddos" 

12    ;;; Drop Blaster Worm
      chain=virus action=drop protocol=tcp dst-port=135-139 log=no 
      log-prefix="" 

13    ;;; Drop Messenger Worm
      chain=virus action=drop protocol=udp dst-port=135-139 log=no 
      log-prefix="" 

14    ;;; Drop Blaster Worm
      chain=virus action=drop protocol=tcp dst-port=445 log=no log-prefix="" 

15    ;;; Drop Blaster Worm
      chain=virus action=drop protocol=udp dst-port=445 log=no log-prefix="" 

16    ;;; ________
      chain=virus action=drop protocol=tcp dst-port=593 log=no log-prefix="" 

17    ;;; ________
      chain=virus action=drop protocol=tcp dst-port=1024-1030 log=no 
      log-prefix="" 

18    ;;; Drop MyDoom
      chain=virus action=drop protocol=tcp dst-port=1080 log=no log-prefix="" 

19    ;;; ________
      chain=virus action=drop protocol=tcp dst-port=1214 log=no log-prefix="" 

20    ;;; ndm requester
      chain=virus action=drop protocol=tcp dst-port=1363 log=no log-prefix="" 

21    ;;; ndm server
      chain=virus action=drop protocol=tcp dst-port=1364 log=no log-prefix="" 

22    ;;; screen cast
      chain=virus action=drop protocol=tcp dst-port=1368 log=no log-prefix="" 

23    ;;; hromgrafx
      chain=virus action=drop protocol=tcp dst-port=1373 log=no log-prefix="" 

24    ;;; cichlid
      chain=virus action=drop protocol=tcp dst-port=1377 log=no log-prefix="" 

25    ;;; Worm
      chain=virus action=drop protocol=tcp dst-port=1433-1434 log=no 
      log-prefix="" 

26    ;;; Bagle Virus
      chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix="" 

27    ;;; Drop Dumaru.Y
      chain=virus action=drop protocol=tcp dst-port=2283 log=no log-prefix="" 

28    ;;; Drop Beagle
      chain=virus action=drop protocol=tcp dst-port=2535 log=no log-prefix="" 

29    ;;; Drop Beagle.C-K
      chain=virus action=drop protocol=tcp dst-port=2745 log=no log-prefix="" 

30    ;;; Drop MyDoom
      chain=virus action=drop protocol=tcp dst-port=3127-3128 log=no 
      log-prefix="" 

31    ;;; Drop Backdoor OptixPro
      chain=virus action=drop protocol=tcp dst-port=3410 log=no log-prefix="" 

32    ;;; Worm
      chain=virus action=drop protocol=tcp dst-port=4444 log=no log-prefix="" 

33    ;;; Worm
      chain=virus action=drop protocol=udp dst-port=4444 log=no log-prefix="" 

34    ;;; Drop Sasser
      chain=virus action=drop protocol=tcp dst-port=5554 log=no log-prefix="" 

35    ;;; Drop Beagle.B
      chain=virus action=drop protocol=tcp dst-port=8866 log=no log-prefix="" 

36    ;;; Drop Dabber.A-B
      chain=virus action=drop protocol=tcp dst-port=9898 log=no log-prefix="" 

37    ;;; Drop Dumaru.Y
      chain=virus action=drop protocol=tcp dst-port=10000 log=no log-prefix="" 

38    ;;; Drop MyDoom.B
      chain=virus action=drop protocol=tcp dst-port=10080 log=no log-prefix="" 

39    ;;; Drop NetBus
      chain=virus action=drop protocol=tcp dst-port=12345 log=no log-prefix="" 

40    ;;; Drop Kuang2
      chain=virus action=drop protocol=tcp dst-port=17300 log=no log-prefix="" 

41    ;;; Drop SubSeven
      chain=virus action=drop protocol=tcp dst-port=27374 log=no log-prefix="" 

42    ;;; Drop PhatBot, Agobot, Gaobot
      chain=virus action=drop protocol=tcp dst-port=65506 log=no log-prefix="" 

43    ;;; jump to the virus chain
      chain=forward action=jump jump-target=virus log=no 
      log-prefix="jump to virus list"

Если выключить все DROP и JUMP, а оставить только forwarding, то все равно не пингуется.

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

Vladimir Zhurkin: Настроил согласно мануалу. Wireshark установлен на OS2 получает данные с микротика при включенном снифере на Микротике. При этом OS2 пингует OS1 и вот что я выделил:

493805	975.613960	192.168.69.200	192.168.100.198	ICMP	121	Echo (ping) request  id=0x0001, seq=311/14081, ttl=128 (no response found!)

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

О форвардинге отвечу позже.
Почему не NAT? Что в замен IPv6 и Teredo или Socks?
У меня в локалке стоит multidomain web-server, multidomain mail-server и т.п. и ко всему этому нужен доступ из вне по определенным портам.

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

Сделал
rp-filter strict
Оставил NAT для работающей подсети:

;;; -=МАСКАРАД=-
      chain=srcnat action=masquerade src-address=x.x.0.0/12 
      out-interface=eth1-WAN log=no log-prefix=""

Почему не нужен? Я собираюсь все разделить на VLAN. Как же будет без NAT?

Как настроить маршрутиризацию между двумя VLAN на одном Mikrotik?

ip-forward: yes
send-redirects: yes
accept-source-route: no
accept-redirects: no
secure-redirects: yes
rp-filter: no
tcp-syncookies: no
max-arp-entries: 8192
arp-timeout: 30s
icmp-rate-limit: 10
icmp-rate-mask: 0x1818
route-cache: yes
allow-fast-path: yes
ipv4-fast-path-active: no
ipv4-fast-path-packets: 0
ipv4-fast-path-bytes: 0
ipv4-fasttrack-active: no
ipv4-fasttrack-packets: 0
ipv4-fasttrack-bytes: 0

Как переадресовать домен в nginx на другой локальный IP адрес?

ldv: не использует. В первую очередь, хотел от всего отмахнуться, так и сделать ))) но это временный костыль, так как может 443 понадобится на web сервере или еще на каком

Как переадресовать домен в nginx на другой локальный IP адрес?

ldv: Подмена идет таким образом, то есть если я лезу на mail.babruisk.ru снаружи, то в адресной строке mail.baruisk.ru меняется на 192.168.0.3

Как переадресовать домен в nginx на другой локальный IP адрес?

в host прописанно. Через локальную сеть все проходит, как через ip адрес, так и через домен.

Как настроить DHCP server на MIKROTIK?

"Как мне настроить ..." увы не нашел мануалы по корректной настройке на MIKROTIK двух DHCP, один для локальной сети, а другой для wi-fi сети, если Вы такими обладаете, то поделитесь, пожалуйста.

Как настроить DHCP server на MIKROTIK?

VLAN не настроен