Перенаправление трафика на почтовый сервер в другой подсети

[Alex2019]

Добрый день, уважаемые форумчане! Возник такой вопрос:
Филиал (192.168.2.0/24) подключен через VPN с головным офисом (192.168.0.0/24). Он, в свою очередь, по VPN к другой подсети, в которой крутится почтовый сервер (192.168.1.1). Филиал напрямую не конектится к этому серверу. На Микротике сделал IP 192.168.0.3 и создал правило NAT с перенаправлением трафика на почтовый сервер, как вычитал на форуме:

Код: Выделить всё

/ip firewall nat
add chain=dstnat dst-address=192.168.0.3 protocol=tcp dst-port=25 action=dst-nat to-addresses=192.168.1.1 to-ports=25
add chain=dstnat dst-address=192.168.0.3 protocol=tcp dst-port=110 action=dst-nat to-addresses=192.168.1.1 to-ports=110

Пробовал без In.Interface и разные варианты его, но The Bat при отправке пишет или "!04.02.2020, 10:13:17: SEND - Невозможно соединиться с сервером. Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение", или "!04.02.2020, 10:14:01: SEND - Невозможно соединиться с сервером. Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера".
Подскажите, пожалуйста, что делаю не так. Для визуального представления, прикрепляю фото, как схематично выглядит подключение.

[Erik_U]

Филиал напрямую не конектится к этому серверу.

Почему?

[Alex2019]

Филиал напрямую не конектится к этому серверу.

Почему?

Очень интересный вопрос!) Если в филиале указать маршрут на 192.168.1.1, то Gateway должен быть 192.168.0.1 для доступа. Но нельзя указать его из другой подсети

[Alex2019]

У меня как-то всё криворуко настроено. Филиалов куча. И каждый из них только с главным конектится. А между собой почему-то нет

[Erik_U]

Так проблема не в нате, а в маршрутизации.
Рисуйте схему с подсетями.

[Alex2019]

Так проблема не в нате, а в маршрутизации.
Рисуйте схему с подсетями.

Примерно так, накидал на скорую руку

[Erik_U]

Вопросы по схеме.
1. Кто ВПН сервер? Какая технология?
2. У модемов 1.1.1.х = это IP? У вас в каждом офисе белый IP?
3. В офисах только модемы? Микротиков нет?
4. Теперь вижу 2 картинки, и они разные. Какая правильная?

[Erik_U]

Чтобы работало, нужно на оборудовании в каждом офисе добавить маршруты до всех сетей во всех других офисах.
Тогда заработает.
По вашей схеме мало что понятно.
Поэтому подробностей нет.

[Alex2019]

Вопросы по схеме.
1. Кто ВПН сервер?
2. У модемов 1.1.1.х = это IP? У вас в каждом офисе белый IP?
3. В офисах только модемы? Микротиков нет?

1. VPN на офисы у нас от Белтелекома (Белорусский аналог Ростелекома). А с подсетью, где почтовый сервер, через l2tp микротики соединены.
2. Да, это белые IP. CE и PE выданные интернет-провайдером, предоставляющим VPN. У каждого свой.
3. На данный момент везде модемы. В далёком будущем планируем поставить Микротики.
4. На первой я образно суть вопроса описал. На второй уже всё подробно и точно нарисовано

[Erik_U]

Если модемы позволяют вести на них статические маршруты, то
1. В каждом офисе на модеме добавьте маршруты до каждой сети 192.168.х.х. (на схеме их 9), указав в качестве шлюза 1.1.1.1. На компьютерах в каждом офисе шлюзом по умолчанию должен быть IP адрес модема из сети 192.169.х.х этого офиса (в каждом свой). Тогда все офисы увидят друг друга. Если нужна только почта - можно добавить маршрут только до сети 192.168.10.0.
2.На микротике 192.168.0.1 маршруты до сетей каждого офиса с указанием в качестве шлюза имени интерфейса, к которому подключен модем 1.1.1.1, и до сети 192.168.10.0 с указанием в качестве шлюза интерфейс в сторону микротика 192.168.0.2
3. На микротике 192.168.0.2 маршруты до каждой сети офисов с указанием в качестве шлюза имени интерфейса, смотрящего на микротик 192.168.0.1 и до сети 192.168.10.0 с указаниепм в качестве шлюза имени интерфейса, к которому не нарисовано что подключено, скорее всего нужно создать интерфейс L2TP_srever_binding для статического отображения L2TP подключения (В ПРОФИЛЕ ЭТОГО СОЕДИНЕНИЯ ПОСТАВЬТЕ ГАЛОЧКУ НА ONLY ONE, ЧТОБЫ ПРИ ПЕРЕКЛЮЧЕНИИ НОВЫЙ ИНТЕРФЕЙС НЕ СОЗДАВАЛСЯ). Этот интерфейс и указать.
4. Кто в сети 192.168.10.0 выполняет роль шлюза не нарисовано. Он же выступает клиентом L2TP. На нем нужны маршруты до сетей каждого офиса с указанием шлюза 1.1.1.10