Как организовать сеть на Микротике с двумя интернет шлюзами?

Valentin Barbolin, есть ссылки на примеры?

Как организовать сеть на Микротике с двумя интернет шлюзами?

Valentin Barbolin, а как? Например, на винде. Получил я интернет на интерфейсе "локальная сеть 1" от шлюза 192.168.1.1. Работает клиент амнезия, в момент работы поднимается интерфейс "Туннель 1". Каким образом мне обратно отдать в ту же локалку доступ к тому, что я получаю от амнезия? Бридж?

Как организовать сеть на Микротике с двумя интернет шлюзами?

С настройками Микротика схема ясна, как послать определённого клиента в конкретный шлюз, вроде понятно. Но как в целом с сетью быть? Я же не могу и получать интернет, и отдавать его после VPN с одной подсети? Или как это сделать?

Mikrotik несколько подсетей на одном коммутаторе на всех портах, возможно ли?

Добавляешь нужные порты в эти бриджи

И как один порт добавить в разные бриджи?

Как передать реальный IP при переадресации NAT с помощью iptables?

Нужно убрать SNAT в POSTROUTING и на приёмнике маршрутизировать ответные пакеты в VPN.

Начал копать тут: https://www.reddit.com/r/selfhosted/comments/qr4tb...
Потом это: https://github.com/mochman/Bypass_CGNAT
В итоге добавил в конфиг wg такое:

PostUp = iptables -t nat -A PREROUTING -p tcp -i ens3 '!' --dport 22 -j DNAT --to-destination 10.9.9.5; 
PostUp = iptables -t nat -A POSTROUTING -o ens3 -j SNAT --to-source 90.100.131.195
PostUp = iptables -t nat -A PREROUTING -p udp -i ens3 '!' --dport 51820 -j DNAT --to-destination 10.9.9.5;

PostDown = iptables -t nat -D PREROUTING -p tcp -i ens3 '!' --dport 22 -j DNAT --to-destination 10.9.9.5; 
PostDown = iptables -t nat -D POSTROUTING -o ens3 -j SNAT --to-source 90.100.131.195 
PostDown = iptables -t nat -D PREROUTING -p udp -i ens3 '!' --dport 51820 -j DNAT --to-destination 10.9.9.5;

Теперь весь трафик (кроме порта 22 и 51820) приходящий на внешний порт VPS перенаправляется в туннель WG и прилетает в Микротик, что, собственно, и требовалось в идеале. Я вижу это запустив в Микротике Torch. Внешние адреса приходят неизменённые.
Но теперь я не могу настроить отправку обратных пакетов. Они только приходят, и обратно не отправляются. Уже разные правила добавлял, ничего не помогло. Как правильно сделать?

Как передать реальный IP при переадресации NAT с помощью iptables?

Это что-то типа файрволла. Отслеживает активность, в том числе и по IP, трафик, ведёт логи, блокирует по разным признакам, по IP, по юзернейм и т.д.

Как настроить VDS в качестве интернет шлюза для роутера за NAT провайдера?

По идее, этот site to site VPN можно делать не шифрованным, для снижения нагрузки на роутер? Трафик там всё равно шифрованный, до VDS, а далее он просто просовывается в роутер. Или я упускаю какой-то момент, и шифровать нужно?
А в целом можно эти все перенаправления и портов и доменов сделать на реверс прокси, это нормально будет? Или надо iptables задействовать?

Выбор VPN протокола для сервера на Mikrotik, какой наиболее производительный?

Ага. Дельный совет (нет!).
Этот Wireguard на том же "мощном" RB5009 при канале 200 мегабит грузит проц на 70%. А три WG клиента кладут RB5009 на 100%.
WG работает чисто на CPU, никакой аппаратной поддержки. Так что для постоянного VPN с нагрузкой и на микротике - использовать категорически не стоит. Если так, время от времени подключится к домашней сети, один-два клиента, то вполне сгодится.
Для микротов выбирайте какой-нибудь ipsec.

Какое ПО лучшее для шифрования текстовых сообщений?

rPman, слишком запарно про контрагентов. Я же сказал, отправляю свои сообщения сам себе, по факту. Одна система, автоматизированная, шлёт данные текстом, через смс о вещах которые не стоило бы читать никому. А интернет там постоянно рубят, единственный канал связи - sms.
Факт того, с кем я общаюсь и доверяю ли ПО - его ананимность меня вообще не интересует. Меня интересует только то, чтоб в автоматическом режиме какая-нибудь СОРМ не читала мои тексты и не срабатывала на триггеры. Дело ясное, что если тов. майор захочет что-то знать, он приедет и узнает, я сам ему скажу это, или не это. Тут дело в том, что я сразу узнаю, что мной интересуются, а не буду думать, что 10 лет я никому не нужен, пока досье потихоньку наполняется.

Какой сервис выбрать для получения статического IP?

Ziptar, да. Я прекрасно понимаю. Если не останавливаться на первом предложении а дочитать до конца, то далее и написано "динамическом DNS". Но комментаторы не осилили второе предложение, а учитывая, что там суть, то есть сильные сомнения в их компетентности. Ну сами посудите, предлагать повесить почтовый сервак на DDNS, прикрутить к нему доменные имена, и всё это за NAT провайдера.., эх, стакими общаться, только время тратить.
P.S. И львиная доля провайдеров сидит на сетях Ростелекома, это Т2, Лайм, QWERTY, и другие. А Ростелеком: https://msk.rt.ru/care/internet/faq/pochemu-u-meny... , и этого для физ лиц не поменять, уже все саппорты обзвонил, это их политика. Тоже самое на производных Т2, Лайм, QWERTY...
Так что не надо мне рассказывать про DDNS и провайдеров без NAT, я изначально другой вопрос озвучивал.
P.P.S. Как раз таки QWERTY до недавнего времени был последним в моей локации, кто предоставлял открытые порты. Но с недавнего времени он "поменял инфраструктуру" и теперь все порты также закрыты как в Ростелекоме.

Какой сервис выбрать для получения статического IP?

VoidVolker, так и спрашиваю, что купить, где лучше купить.

Какой сервис выбрать для получения статического IP?

Потому, что мои сервера стоят у меня дома, и я не хочу их орендовывать у провайдера. Это Xpenology с видео/фотостанциями, мессенжером, почтовым сервером, умнвм домом, видеонаблюдением и кучей других сервисов, которые без выделенного адреса превратились в тыкву.
Просто думал притянуть статик ip vpnом, а есть другие способы? Я не знаю как лучше сделать.

Какой сервис выбрать для получения статического IP?

Какой DNS в 2025 году? Все за NAT сидят. Опять же, почтовый сервер на динамическом DNS - это сильно.

Почему на роутере mikrotik hap ac2 wifi на частоте 5 ггц выдает низкую скорость?

Это почему?

Какие есть готовые устройства которые можно использовать как sms шлюз?

SunTechnik, и товарищи, которые спрашивали "а зачем sms?" - отвечаю. Тогда, когда спрашивал, проблем небыло. В итоге сделал через интернет. Но вот уже 9 дней подряд в локации моего объекта правительство взяло правило ежесуточно отрубать интернет с 22:15 до 08:15. А иногда до 12:00-14:00. Ответ операторов сотовой связи: "ограничения введены не с нашей стороны, спасибо за понимание". Других средств связи в той локации впринципе нет. Работает только gsm голосовая связь и sms. Иногда, в некоторые ночи, вообще гасили всё, "доступные сети не найдены".
Короче, снова ищу sms шлюзы, с нормальным API для отправки любого текста.

Как с помощью Микротика повесить различные сервисы с разным доменным именем на один порт?

Как это должно работать? Микротик встречает трафик, отправляет на другое устройство в локалке (на reverse proxy), а далее reverse proxy отсылает обратно на VPN Микротик и он раздаёт доступ к железкам внутри локальной сети?

Как с помощью Микротика повесить различные сервисы с разным доменным именем на один порт?

OpenVPN на UDP - это чем-то чревато? Или это нормальная ситуация?

Как с помощью Микротика повесить различные сервисы с разным доменным именем на один порт?

AlexVWill, не думал, что раскидать сервисы по доменным именам, а не по портам, будет сложно для микротика. Пробовал reverse proxy который есть на Synology, стандартный, но он работает только с протоколом http, а трафика vpn не понимает.

Какой есть самый простой и лёгкий smtp сервер для одноплатника?

Только по одной причине. Synology не позволяет задать имя пользователя как адрес email. В имени пользователя Synology запрещено использовать "@".
А МФУ, будь оно не ладно, именем пользователя считает только email, и ругается если задать иное, не принимает, пишет "Не верный формат адреса почты", для него адрес почты должен быть именем юзера.

Какие есть готовые устройства которые можно использовать как sms шлюз?

Ну во-первых я знаю о существовании Телеграмм, e-mail, xmpp и прочих способах передачи сообщений. Но спрашиваю про sms, значит есть на то причины.
1. Крайне не стабильная связь в тех местах, интернет не поднимается, звонки голосом пропадают и зависают, но sms летают быстро и стабильно.
2. Телефон абонента, которому нужно понять, что у него электричество отключилось и ИБП котла хватит на 5 часов, может принять только SMS, так как это старая кнопочная звонилка. Да, новый самсунг у него есть, но он пошлёт далеко и на долго любого, кто попробует заставить его им пользоваться, а те, кто предложит тариф с абонентской платой или вообще тариф дороже 50р в месяц - получат дополнительных советов.
3. Также есть второй шлюз, являясь семейным, принимает всякие мусорные смс от любых сервисов, магазинов, банков, и пересылает их по другому каналу (интернет мессенжер) всем, кому приказано. Например магазин "Мираторг" или "Спар", а также детский мир и ещё некоторые профильные, типа "Мир шитья"..., для списания бонусов просят прислать код из смс. Мы не имеем привычки ставить десятки приложений от всяких торгушек и прочих, а также нет желания оставлять свои личные номера каждой такой торгушке, поэтому есть один спам номер, которым пользуются все члены семьи.
Да и вообще, какая разница зачем и почему? Есть такой канал связи как SMS, и мне нужно использовать его. У магазинов и торговых сетей, банков, тоже спрашиваете нафига они смс шлют, есть же телеграмм?