Интернет через 2 микротик для всей подсети

[vladimir.starodubtsev]

То, что данные попадают в 5.1, я понимаю. Но вот почему дальше тупик, это мне не понятно.
На главном микротике интернет есть, пинг идет на любой внешний адрес.
НАТ включил, даже виден какой-то обмен данными в НАТе на 3.0


Как я понимаю, данные доходят до роутера с интернетом, а дальше толпятся у дверей и не идут дальше. Видать нужно какое то правило роутере с интернетом.

[Vlad-2]

а что там у Вас за нулевое правило? что оно делает?
Отключите его временно

P.S.
о боже...

[vladimir.starodubtsev]

а что там у Вас за нулевое правило? что оно делает?
Отключите его временно

Делалось для opvn. Отключил его, на пинг с 3.1 не повлияло.

P.S.
о боже...

Понимаю...именно поэтому и пишу на форум, чтобы найти помощь

[Vlad-2]

1) прошу отключите файрволы на винде (где тестируете, трасерты и пинги делаете)
1.1) если на этой машине есть антивирусник - то тоже надо останоить.
2) ещё раз трассерт (на внешний узел 8.8.4.4) с компа удалённого здания....
3) НАТ должен быть включён...на роутере1 (отключите правила все другие и включите НАТ для всех).

Я отдачу хочу видеть ...где загвозка у Вас, а мне пока гадать приходиться....?

P.S.
Пришла в голову идея:
надеюсь НАТ на том роутере(№2), который у нас промежуточный, Вы
отключили НАТ? Его задача теперь простая...загонять трафик сети в вилан и на
первый роутер.

P.P.S.
На микротике №1 - нет случайно каких-то запрещающих правил (вдруг где-то явно описано
резать сети кроме.....)

P.P.P.S.
А микротик1 знает где та (удалённая) сеть? Вы обратный маршрут сделали то?
То есть с микротика1 он может (знает) что сеть второго здания = доступна по адресу 5.2(кажется)?

Просто завернуть трафик одной сети в другую сторону и потом выпустить её в Интернет,
ну это делается проще простого......

[vladimir.starodubtsev]

P.P.S.
На микротике №1 - нет случайно каких-то запрещающих правил (вдруг где-то явно описано
резать сети кроме.....)

Просто завернуть трафик одной сети в другую сторону и потом выпустить её в Интернет,
ну это делается проще простого......

Да, проблема была на поверхности. На основном микротике изменил правило masquerade NAT на 192.168.0.0/16 и все заработало.

Спасибо за терпение и понимание =)

[Vlad-2]

Надо делать так, что если в поле src - адресация локальных сетей, а поле
назначения есть не локальная сеть то этот пакет выпускать через
внешний интерфейс и делать НАТ ему.

То есть правило НАТ должны быть не общего плана, а более уникальны.
Это как не проходить дома мимо кухни всегда, а пойти лишь туда и тогда,
когда захочется кушать.

Поэтому рекомендую с НАТ правилами привести их в порядок и сделать
более точечными и "строгими". Чтобы через них не бегал весь трафик,
а бегал тот, который чисто Интернетовский.

[vladimir.starodubtsev]

Поэтому рекомендую с НАТ правилами привести их в порядок и сделать
более точечными и "строгими". Чтобы через них не бегал весь трафик,
а бегал тот, который чисто Интернетовский.

add action=masquerade chain=srcnat dst-address-list=!local src-address=192.168.3.0/24
add action=masquerade chain=srcnat dst-address-list=!local src-address=192.168.1.0/24

Не работает, а
add action=masquerade chain=srcnat dst-address-list=!local src-address=192.168.0.0/16 работает.

Как сделать более узконаправленным в этом случае?

[Vlad-2]

Не работает, а
add action=masquerade chain=srcnat dst-address-list=!local src-address=192.168.0.0/16 работает.

Как сделать более узконаправленным в этом случае?

Включите для работающего правила (галочку) LOG и смотрите что в логе микротика пишется...
и сравните.....