Объединяем филиалы. Для нашего филиала провайдер1 выделил внутреннюю сеть 10.10.131.192/26. Без интернета. СЕ 10.1.1.18/30 РЕ 10.1.1.17/30 Для доступа в интернет используется другой провайдер - провайдер2. Клиентам необходимо выдавать айпишники из диапазона 10.10.131.192/26 и они должны быть доступны из других филиалов. При этом нужно обеспечить доступ в интернет только для определенных айпишников. Оборудование - mikrotik rb951g Как я мыслю: провод от провайдера1 подключаю в 1-й порт микротика. На первом порту ставлю адрес 10.1.1.18, добавляю роут 0.0.0.0/0 10.1.1.17. Объединяю 1-3 порты в свич (1-й порт - мастер), 2-му порту присваиваю адрес 10.10.131.193 и настраиваю на нем DHCP. В порты 2 и 3 подключаю свичи, на которых сидят клиенты. Но вот как проще сделать раздачу инета?
Вот что у меня получилось на данный момент: в первый порт подключен 1-й провайдер /ip address add address=10.1.1.18/30 interface=ether1-vpn network=10.1.1.16 2-4 порты сгруппированы в свич, который с wlan добавлен в бридж bridge1-local /ip address add address=10.10.131.193/26 interface=bridge1-local network=10.10.131.192 5-й порт для выхода в интернет (pppoe). /ip route add distance=1 gateway=inet routing-mark=r-inet add distance=1 gateway=10.1.1.17 Для адреса 10.10.131.198 разрешаем выход в инет /ip firewall address-list add address=10.10.131.198 list=allow-to-inet add address=0.0.0.0/8 list=bogons add address=10.0.0.0/8 list=bogons add address=100.64.0.0/10 list=bogons add address=127.0.0.0/8 list=bogons add address=169.254.0.0/16 list=bogons add address=172.16.0.0/12 list=bogons add address=192.0.0.0/24 list=bogons add address=192.0.2.0/24 list=bogons add address=192.168.0.0/16 list=bogons add address=198.18.0.0/15 list=bogons add address=198.51.100.0/24 list=bogons add address=203.0.113.0/24 list=bogons add address=224.0.0.0/3 list=bogons add address=10.10.131.193 list=allow-to-inet /ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=!bogons \ new-routing-mark=r-inet passthrough=yes src-address-list=allow-to-inet /ip firewall nat add action=masquerade chain=srcnat out-interface=inet Но при таких настройках отсутствует доступ в интернет на самом микротике. Как это исправить? Добавление адреса микротика 10.10.131.193 в address-list не помогает.
А ведь точно! С такими правилом заработало: /ip firewall mangle add action=mark-routing chain=output dst-address-list=!bogons new-routing-mark=r-byfly passthrough=no Спасибо!