Есть CHR - server с одним интерфейсом в мир.
1. На нем настроен айпи 111.111.111.111 на внешнем интерфейсе, внешний интерфейс добавил в список WAN
2. Настроил правила Firewall
Код: Выделить всё
add action=accept chain=input comment="accept establish & related" connection-state=established,related
add action=accept chain=input comment="accept establish & related" connection-state=established,related
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept management for white-list" dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list= winbox_remote
add action=accept chain=input comment="accept to l2tp server" dst-port= 1701,500,4500 in-interface-list=WAN protocol=udp
add action=accept chain=input comment="accept protocol ipsec-esc" in-interface-list=WAN protocol=ipsec-esp
add action=drop chain=input comment="drop all from WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
Код: Выделить всё
add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=111.111.111.111
5. Настроил и запустил l2tp/ipsec сервер
6. Создал тестового пользователя для впн сервера и интерфейс L2tp Server Binding
В результате L2tp Server работает и пользователь с мобильного устройства выходит в интернет через сервер.
Дальше мне нужно к CHR - serverу подключить mikrotik-client01 (для возможности управлять им удаленно) с серым айпи,- эго я подключу через l2tp/ipsec сервер, но не понимаю какой айпи ему выдавать, из уже существующего пула или создавать новый пул айпи адресов для удаленных микротиков, чтобы они не видили друг друга и ничего внутри роутера, а с мобильного устройства ими можно было управлять??
Подскажите куда копать дальше.
Спасибо.