Здравствуйте! Имеются два волшебных роутера микротик (MK1,MK2). Есть две сети с выходом в интернет: 1-я - 192.168.0.0/24 эта сеть имеет белый ip, 2-я - 192.168.8.0/24 имеет серый ip. Между ними поднят VPN туннель по PPTP (vpn сеть 192.168.5.1-192.168.5.2). Компьютеры из 1-ой и 2-ой сети видят друг друга. Компьютеры из 1-ой сети выходят в интернет через свой шлюз (MK 1), а компьютеры 2-ой сети выходят в интернет через свой шлюз (MK2). Также несколько компьютеров из 2-ой сети (192.168.8.201-192.168.8.210) должны выходить в интернет через VPN и, соответственно, через шлюз MK1. Маршруты прописаны. Более того для компьютеров из диапазона 192.168.8.201-192.168.8.210 из 2-ой сети проходят пинги через МК1. Но интернет не работает. Конфиг МК1: export # may/31/2019 15:23:31 by RouterOS 6.44.3 # software id = Z4HF-WP8I # # model = RB750Gr3 # serial number = ***** /interface bridge add arp=proxy-arp name=bridge1 /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \ password=****** use-peer-dns=yes user=****** /interface pptp-server add name=pptp-tunel user=Businessgrud /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.0.50-192.168.0.100 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge1 lease-time=8h name=dhcp1 /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 /interface list member add interface=pppoe-out1 list=WAN add interface=bridge1 list=LAN /interface pptp-server server set enabled=yes /ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0 /ip dhcp-client add dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 /ip dns set allow-remote-requests=yes /ip firewall filter add action=accept chain=input connection-state=established,related \ in-interface=bridge1 src-address-list="" add action=accept chain=input dst-port=1723 protocol=tcp add action=accept chain=input protocol=gre add action=drop chain=input comment="drop echo request" disabled=yes \ icmp-options=8:0 in-interface=pppoe-out1 protocol=icmp add action=drop chain=input comment="drop all" in-interface=pppoe-out1 /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN /ip firewall service-port set ftp disabled=yes /ip route add distance=1 dst-address=192.168.8.0/24 gateway=192.168.5.2 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes Конфиг МК2: # jun/01/2019 11:12:53 by RouterOS 6.44.3 # software id = RK5T-NUWJ # # model = RB750Gr3 # serial number = ******** /interface bridge add name=BridgeLan /interface pptp-client add allow=mschap1,mschap2 connect-to=белый_IP disabled=no name=pptp-out1 \ password=****** user=Businessgrud /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=Lan-Pool ranges=192.168.8.50-192.168.8.100 /ip dhcp-server add add-arp=yes address-pool=Lan-Pool bootp-support=dynamic disabled=no \ interface=BridgeLan lease-time=12h name=DHCP-Server /interface bridge port add bridge=BridgeLan interface=ether2 add bridge=BridgeLan interface=ether3 add bridge=BridgeLan interface=ether4 add bridge=BridgeLan interface=ether5 /ip address add address=192.168.8.1/24 interface=BridgeLan network=192.168.8.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=192.168.8.0/24 dns-server=192.168.8.1 gateway=192.168.8.1 netmask=\ 24 /ip dns set allow-remote-requests=yes /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes \ src-address=192.168.8.201-192.168.8.210 /ip firewall nat add action=masquerade chain=srcnat out-interface=pptp-out1 src-address=\ 192.168.8.201-192.168.8.210 add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=pptp-out1 routing-mark=vpn add distance=1 dst-address=192.168.0.0/24 gateway=192.168.5.1 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow Заранее спасибо.
В общем-то ответил в предыдущей теме. Повторюсь Через маркировки с 2 сторон. Роутер 2 Код: /ip route add gateway=PPTP_OUT route-mark=to-tunnel /ip firewall mangle add chain=preroutind src-address=192.168.8.101-192.168.8.110 action=mark-route new-route-mark=to-tunnel Далее или на Router2 пишем Код: /ip firewall nat add chain=srcnat src-address=192.168.8.101-192.168.8.110 out-intarface=PPTP_OUT action=masqurade Или на Роутер1 крутим обратные маршруты
К сожалению или к счастью когда я создавал эту тему, то я это уже сделал. Обратите внимание на конфиг МК2, /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes \ src-address=192.168.8.201-192.168.8.210 /ip firewall nat add action=masquerade chain=srcnat out-interface=pptp-out1 src-address=\ 192.168.8.201-192.168.8.210 /ip route add distance=1 gateway=pptp-out1 routing-mark=vpn Теперь у меня немного другая проблема, собственно поэтому я создал новую тему. Обратите внимание на трассировку пакетов с компьютеров принадлежащих диапазону 192.168.8.201-192.168.8.210 - там все нормально. Т.е. пинги проходят, но сайты не открываются, а также не хотят работать некоторые приложения использующие порты отличные от 80, 8080. На firewall или вирусы грешить не стоит, т.к. это было проделано с нескольких компьютеров (в том числе и в безопасном режиме с поддержкой сетевых драйверов). Более того если на этих компьютерах установить ip адрес не принадлежащий вышеуказанному диапазону, но они как им и положено абсолютно нормально ходят в интернет через свой шлюз (МК2).
Поменял MTU И MRU на 1200 и сайты стали открываться. Т.е. как я понимаю мне нужно подобрать эти два параметра? Вместе с тем по прежнему не работают сетевые приложения которые соединяются по портам отличных от 80 и 8080. Может для них нужны еще какие-то настройки в firewall MK1?