Здравствуйте, Вопрос по не корректной работе/настройки роутера RB3011. В 2 словах картина следующая: От 1 провайдера есть 2 внешних ip адреса, предполагается, что ip1 адрес назначен на бридж "WAN" и используется для выхода в интернет (srcnat). В бридж добавлены 2 порта eth1 и eth7 с разных групп свитчей. В порт eth1 вставлен линк от провайдера в порт eth7 вставлен с ip2 роутер cisco который держит ipsec тунель для адресов 10.0.0.0/8 Нат настроен на бридж, но проблема в том, что вдруг после манипуляций с fierwall rules (дроп на wan всех соединений с dst port 445 и OutInt wan) весь трафик пошел через 2 ip которой предназначен исключительно для ipsec тунеля. Странным образом перестали работать клиентские vpn pptp подключения, из сети к серверам в интернете. Вываливается 691 ошибка. Получается что если пинговать непосредственно шлюз провайдера по первому ip все идет правильно, если пинговать 8.8.8.8 пакеты идут через второй ip. 1 <1 мс <1 мс <1 мс 10.18.133.129 2 1 ms 1 ms 1 ms 81.23.119.157 3 1 ms 1 ms 1 ms 93.174.247.242 4 1 ms 1 ms 1 ms 93.174.247.241 ..... 19 4 ms 4 ms 4 ms google-public-dns-a.google.com [8.8.8.8] Посмотрите опытным взглядом в чем ошибка. Заранее спасибо. Спойлер /interface bridge add name=wan /interface ethernet set [ find default-name=ether5 ] comment="trunk vlan 1-10" /ip neighbor discovery set ether1 discover=no set sfp1 discover=no set wan discover=no /interface vlan add interface=ether5 name=vlan1 vlan-id=1 add comment="to trunk cisco sw network 192.168.2.0/24" interface=ether5 name=vlan2 vlan-id=2 add comment="WAN-1 81.24.125.x" interface=ether5 name=vlan3 vlan-id=3 add comment="to trunk cisco sw network 10.18.133.0/25" interface=ether5 name=vlan4 vlan-id=4 add comment="to trunk cisco sw network 10.18.133.128/25" interface=ether5 name=vlan5 vlan-id=5 add comment="to trunk cisco sw network 172.16.1.0/24" interface=ether5 name=vlan6 vlan-id=6 add interface=ether5 name=vlan7 vlan-id=7 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip firewall layer7-protocol add name=bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?info_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]" /ip pool add name=dhcp_pool2 ranges=10.18.133.20-10.18.133.126 add name=dhcp_pool6 ranges=172.16.1.100-172.16.1.200 /ip dhcp-server add address-pool=dhcp_pool2 disabled=no interface=vlan4 name=dhcp2 add address-pool=dhcp_pool6 interface=vlan5 name=dhcp3 add address-pool=dhcp_pool6 disabled=no interface=vlan6 lease-time=1d name=dhcp1 /interface bridge port add bridge=wan interface=ether1 add bridge=wan interface=ether7 /ip address add address=10.18.133.1/25 comment="GW for network 10.18.133.0/25 on trunk to cisco switch vlan4" interface=vlan4 network=10.18.133.0 add address=10.18.133.129/25 comment="GW network 10.18.133.128/25 on trunk to cisco switch vlan5" interface=vlan5 network=10.18.133.128 add address=172.16.1.1/24 comment="FREE CLIENTS" interface=vlan6 network=172.16.1.0 add address=192.168.2.1/24 comment="Client VPN SERVER network 192.168.2.50" interface=vlan2 network=192.168.2.0 add address=10.18.251.110/30 comment="GW for IPSEC network 10.18.251.9/30 to cisco router " interface=ether6 network=10.18.251.108 add address=81.24.125.226/30 comment="WAN internet on ether port 1" interface=wan network=81.24.125.224 /ip dhcp-client add dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=10.18.133.0/25 dns-server=10.18.133.244,192.168.2.50 gateway=10.18.133.1 add address=172.16.1.0/24 dns-server=81.23.96.138,81.24.99.2 gateway=172.16.1.1 /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=drop chain=input in-interface=wan src-address-list=BOGON add action=drop chain=forward connection-state=invalid add action=accept chain=forward disabled=yes dst-port=445 out-interface=wan protocol=tcp src-address=10.18.133.226 add action=drop chain=forward dst-port=445 out-interface=wan protocol=tcp add action=add-src-to-address-list address-list="Blocked IP's" address-list-timeout=2w chain=input comment="blocked ports scaners" protocol=tcp psd=21,3s,3,1 add action=drop chain=forward comment="P2P trafic" disabled=yes layer7-protocol=bittorrent add action=accept chain=input protocol=icmp add action=accept chain=forward protocol=icmp add action=accept chain=input connection-state=established connection-type="" add action=accept chain=forward connection-state=established add action=accept chain=input connection-state=related add action=accept chain=forward connection-state=related connection-type="" add action=accept chain=forward disabled=yes protocol=gre add action=accept chain=forward dst-port=1723 protocol=tcp add action=drop chain=input connection-state=new in-interface=!vlan5 /ip firewall nat add action=masquerade chain=srcnat comment="SRC NAT if WAN on ether port 1 " out-interface=wan add action=dst-nat chain=dstnat dst-port=500 protocol=tcp to-addresses=192.168.2.50 to-ports=500 add action=dst-nat chain=dstnat dst-port=1701 protocol=tcp to-addresses=192.168.2.50 to-ports=1701 add action=dst-nat chain=dstnat dst-port=1723 protocol=tcp to-addresses=192.168.2.50 to-ports=1723 add action=dst-nat chain=dstnat dst-port=4500 protocol=tcp to-addresses=192.168.2.50 to-ports=4500 /ip route add check-gateway=ping distance=1 gateway=81.24.125.225 add check-gateway=ping distance=1 dst-address=10.0.0.0/8 gateway=10.18.251.109 /ip route rule add action=drop disabled=yes dst-address=10.18.133.0/25 src-address=172.16.1.0/24 add action=drop disabled=yes dst-address=10.18.133.128/25 src-address=172.16.1.0/24 add action=drop disabled=yes dst-address=192.168.2.50/32 src-address=172.16.1.0/24 add action=drop disabled=yes dst-address=10.0.0.0/8 src-address=172.16.1.0/24
Ошибка в том, что не было для цепочки dstnat указан интерфейс. Отсюда внутренним подключения на 1723 порт заворачивали в другую подсеть вместо Nat. DSTnat выполняется раньше SRCnat.