Доступ по Winbox через VPN

[Skylear]

Господа здравствуйте. Пожалуйста подскажите, нигде толком не могу найти решение.
Имеем сеть 192.168.0.0/24 с головным микротиком с белым ip. По vpn подключаются другие микротики.
Задача: из сети 192.168.0.0/24 получить доступ к микротикам, которые ходят по VPN ТОЛЬКО для их администрирования. Маршруты доступности целых сетей не нужны. Сети за микротиками VPN тоже могут быть 192.168.0.0/24. Канал VPN - SSTP 172.16.30.0/24.

Может есть какие другие пути решения глобальной задачи: Администрирование микротиков с серыми адресами

[KaNelam]

Каждый тик получает 2 адреса. В secrets забейте статические адреса remote address каждому удаленному тику. По этим адресам стучитесь на удаленные тики.

[Skylear]

так и сделано, vpn-клиент забит с адресами клиента и сервера. головной микротик пингует подключаемый по vpn-адресу, если сделать в нате правило маскарадинга vpn-сети, то микротик начинает пинговать по его по локальному адресу, но сеть может быть такой же, как и у головного

[KaNelam]

172.16.30.0/24 из этой сети адреса у вас выдаются удаленным утсройствам, по ним и обращайтесь на них. Никакой маскарад и прочее не нужно.

[Skylear]

1) адреса не выдаются, а у каждого клиента прописаны в конфиге VPN
2) Сеть 172.16.30.0/24 - чисто внутренняя между микротиками.

если я обращаюсь из головной сети по этим адресам - не работает, даже пинги не проходят

[KaNelam]

Фаервол смотрите на удаленных точках

[Skylear]

фаервол дефолтный. так как не особо нужен при сером адресе. с головного микротика все пингуется, не пингуется с компов

[Skylear]

не понимаю в чем косяк:
1) маршрут с головного в удаленный микротик есть
2) маскарад vpn-сети (можно и отключить)

и в итоге головной микротик пингует все адреса из сети удаленного, а компы головного микротика - не пингуют удаленную сеть

[Skylear]

посылаю tracert с компа в сеть 192.168.17.0/24 - видно что трафик теряется на головном роутере 192.168.0.1 и далее никуда не идет.
хотя на головном маршрут прописан и сам микрот все пингует

[Skylear]

коллеги, заметил такое, что при любом трацерте с компа главного микротика - все уходит в шлюз интернета, т.е. пробую трацерт 172.16.30.5 - адрес удаленного микротика по VPN, так трацерт ведет сначала на главный микрот 192.168.0.1, потом на шлюз провайдера..... непонятно.

еще момент, на микротике настроен BalanceWan из двух провайдеров. все работает динамически, отрубив одного - все продолжает работать на другом и обратно. причем в маршруте 0.0.0.0/0 стоят оба шлюза, и трафик гонится одновременно. Еще нашел маркировки - есть компы роутинг которых маркируется и для них есть статичные маршруты. и правила стоят таким образом:
0.0.0.0 - маркированный компы каждый со своим шлюзом
0.0.0.0 - на оба шлюза
0.0.0.0 - на 1 шлюз
0.0.0.0 - на 2 шлюз

дистансы везде 1, скопы везде 30.

не знаю влияет это на то что у меня не работает VPN или нет. Но на всех ПК - все маршрутизируется через эти шлюзы провайдеров. Может поставить distans'ы разные? прошивка микрота 6.47