Доброго времени суток.
Господа знатоки, подскажите несмышлёному где затык.
Вводные:
Имеется домашняя сеть - 192.168.31.0/24
Имеется l2TP IPsec сервер на тике. При подключении к нему, с внешки, клиенту выдаётся адрес 192.168.1.2 из пула 192.168.1.0/24
Требуется простое действие что бы клиент(ы) мог ходить на ресурсы в подсетьи 31.0 . Раньше решение было элегантным хоть и костыльным. Было простое правило в firewall которое разрешало ходить из одной подсети в другую.
Код: Выделить всё
add action=accept chain=input dst-address=192.168.31.0/24 in-interface=all-ppp protocol=tcp src-address=192.168.1.2
Это было на моём hap2 с RouterOS 7.7. Сейчас же сижу на hap3 с RouterOS 7.9.1 и такая фишка уже не помогает. При создании такого правила я могу достучаться только до самого роутера 31.1 Но не дельше. Не понимаю в чём затык.
Даже если брать всю подсеть VPN соединения (src-address=192.168.1.0/24) не помогает. Тыкните меня носом пожалуйста что делаю не так. Заранее спасибо.
UPD: Клиент получает внешний ip роутера и спокойно через него ходит в инет.
Код: Выделить всё
/ip firewall filter
add action=add-src-to-address-list address-list="BlackList (ssh)" address-list-timeout=4w3d23h59m59s chain=input dst-port=\
22 in-interface=ether1 protocol=tcp
add action=add-src-to-address-list address-list="BlackList (winbox)" address-list-timeout=4w3d23h59m59s chain=input \
dst-port=8291 in-interface=ether1 protocol=tcp
add action=add-src-to-address-list address-list="BlackList (RDP)" address-list-timeout=4w3d23h59m59s chain=input dst-port=\
3389 in-interface=ether1 protocol=tcp
add action=add-src-to-address-list address-list="BlackList (Telnet)" address-list-timeout=4w3d23h59m59s chain=input \
dst-port=23 in-interface=ether1 protocol=tcp
add action=accept chain=input comment=ICMP protocol=icmp
add action=accept chain=input dst-port=80,443 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=input comment="L2TP " dst-port=500,1701,4500 in-interface=ether1 protocol=udp
add action=accept chain=input dst-address=192.168.31.0/24 in-interface=all-ppp protocol=tcp src-address=192.168.1.1
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=forward out-interface-list=WAN
add action=accept chain=forward disabled=yes ipsec-policy=out,ipsec
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=output log-prefix=dns-flood out-interface-list=WAN protocol=udp src-port=53
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new
add action=drop chain=input in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment=Site dst-port=80 in-interface-list=WAN protocol=tcp to-addresses=192.168.31.24 to-ports=80
add action=dst-nat chain=dstnat comment=Site dst-port=443 in-interface-list=WAN protocol=tcp to-addresses=192.168.31.24 to-ports=443
add action=dst-nat chain=dstnat comment=MC dst-port=25565 in-interface-list=WAN protocol=tcp to-addresses=192.168.31.35 to-ports=25565
add action=dst-nat chain=dstnat comment="PZ server IN" dst-port=16261 in-interface-list=WAN protocol=udp to-addresses=192.168.31.27 to-ports=16261
add action=dst-nat chain=dstnat comment="PZ server OUT" dst-port=16262 in-interface-list=WAN protocol=udp to-addresses=192.168.31.27 to-ports=16262
