Добрый день. Есть две сети на mikrotik: 100.100.100.0/24 с внешним адресом 1.1.1.1 и 200.200.200.0/24 с внешним адресом 2.2.2.2. Между сетями туннель - IP-sec туннельный на политиках. Хосты из 100.100.100.0/24 прекрасно видят хосты в сети 200.200.200.0/24. При этом непосредственно с роутеров хосты не пинуются . Что может быть? Доступ к сети с роутера нужен, что бы скидывать бекапы в сетевую папку. Спойлер: firewall /ip firewall filter add action=accept chain=input comment="EST RELATED" connection-state=\ established,related,untracked add action=accept chain=input protocol=icmp add action=drop chain=input comment=INVALID connection-state=invalid add action=accept chain=input src-address=2.2.2.2 add action=accept chain=forward dst-address=200.200.200.0/24 in-interface=\ lte1 out-interface=bridge1 src-address=100.100.100.0/24 add action=accept chain=forward in-interface=bridge1 out-interface=lte1 add action=drop chain=input in-interface-list=!LAN add action=accept chain=forward comment="EST RELATED" connection-state=\ established,related,untracked add action=drop chain=forward connection-state=invalid add action=drop chain=forward comment="NOT dstnated" connection-nat-state=\ !dstnat connection-state=new in-interface=lte1 /ip firewall nat add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=lte1 Решил добавлением статического маршрута в удаленную подсеть , подставив шлюзом локальный бридж
Чтобы пакет попал в полиси, он ей должен соответствовать. То есть надо было в ping указывать параметр src-address