xvo писал(а): ↑31 июл 2020, 14:09
Очевидно, там в какой-то ерунде затык: туннель где-нибудь не добавлен в нужный interface-list и сбрасывается firewall'ом, что-то такое вот.
Потому что концептуально все правильно.
Огромное спасибо за правильный совет!
На питерском Микротике у меня настроены интерфейс-листы, в том числе для части VPN-туннелей. В пследствии я добавлял туннели, решал конкретные задачи, а про меню interface-list совершенно забыл, и sstp-соединения не вносил в него.
Плюс, наверное, правильная статья эта, я ее раньше читал и настраивал по ней, нужно освежить в голове материал.
https://gregory-gost.ru/sozdanie-domash ... shlyuzami/
Создание домашней сети на базе устройств MikroTik: Часть 7 – Firewall правильное перенаправление портов в сети с двумя шлюзами
P.S. На sstp я подсел из-за того, что некоторые микротики стоят в глубинке Северо-Западного региона, подключение через USB-модем, сим-карта Мегафон. Так вот Мегафон с апреля 2020 года работает отвратительно! По pptp задержки были 600-3000(!)мс Потом Мегафон заменил оборудование, пинги стали приемлемыми (сотни мс), но новое DPI оборудование регулярно делает перерывы в передаче данных по pptp ! Долго тестировал и однозначно понял, что Мегафон просто режет pptp, но никогда не признается в этом. Более-менее pptp на Мегафоновских линиях в тех краях работает с 2 ночи до 6-7 утра. Основная проблема в том, что между примерно 5 базовыми станциями по пути трафика к питеру используются радиоканалы, которые просто забиты. Иногда путь до Питера составлял вместо 7 хопов все 14, трафик направляли по длинному маршруту в период, когда меняли оборудование на коротком маршруте.
sstp на этих каналах работает гораздо стабильнее, хотя бы можно подключиться Winbox`ом к микротику.
Upd. 2-8-2020:
1. неполное прохождение трафика через sstp туннели было связано также с тем, что забыл маскарадинг прописать на некоторые туннели.
2. DUDE-серверу (стоит в Питере) не удавалось соединиться с крымским микротиком по sstp туннелю, т.к. мешало включенное правило Дропать Инвалидный Форвард! Не понимаю причину, но на остальных микротиках столкнулся ранее с тем же, поэтому и там вынужден был отключить эти строчки в файрволе.