Помощь в настройке L2TP+IPsec site to site для корпоративной сети

[NoobAdmin]

Коллеги, всем доброго времени суток!
Бьюсь вот уже несколько дней с проблемой доступности локальной сети за пределами VPN туннеля, но никак не могу её самостоятельно решить, надеюсь вы мне поможете советом.
Сразу оговорюсь, что опыт работы админом у меня очень маленький, буквально полгода, до этого работал эникеем около 2-х лет, занимался совершенно другими задачами, поэтому если действительно желаете помочь, то проявите терпение)

Преамбула:
Открыли филиал в другом городе. Для соединения локалок (с доменом) решил использовать VPN туннель на основе L2TP + Ipsec site to site с 2 микротиками hAP ac lite. Вот упрощенная схема, ниже даю пояснения:

https://ibb.co/r7M4Y0j

В головном офисе (GW1) интернет настроен через статику, предоставляемую провайдером, а в филиале (GW2) через PPPoe (со статическим ip).
На обоих роутерах подняты DHCP сервера, настроен Firewall с маскарадом.

Параметры DHCP сервера на GW1:

https://ibb.co/0Xhfc6z

https://ibb.co/j874BYn

https://ibb.co/S0mxKyF

Параметры DHCP сервера на GW2:

https://ibb.co/s1CzJvr

https://ibb.co/qC33Cfh

https://ibb.co/yRqyCP5

Параметры правил Firewall приводить не буду, так как проблема 100% не в этом, поскольку она остается даже при выключенных правилах на обоих роутерах.

NAT GW1:

https://ibb.co/TPhFcvm

NAT GW2:

https://ibb.co/cNvdPxV

Параметры бриджа GW1:

https://ibb.co/M1zcMf8

https://ibb.co/r563dTk

Параметры бриджа GW2:

https://ibb.co/c3LSkzZ

https://ibb.co/jLZDFs2

Параметры DNS GW1:

https://ibb.co/j3PwP6K

Параметры DNS GW2 (динамические, прилетают автоматически от провайдера):

https://ibb.co/xHSJcph

Между роутерами создан VPN туннель, со следующими параметрами:
GW1:

https://ibb.co/hWzsGNq

https://ibb.co/FK4BTPY

https://ibb.co/gZM05nD

https://ibb.co/ZHVgD6d

GW2:

https://ibb.co/6nZg9yt

https://ibb.co/xfVwhvK

Для туннеля созданы маршруты
Маршруты на GW1:

https://ibb.co/ySCghWz

Маршруты на GW2:

https://ibb.co/h2kRjdH

P.S
На мой взгляд основные параметры привел, если нужно что-то еще, то обязательно дополню.

Суть проблемы:
И так, а теперь описание самой ситуации. С такой конфигурацией подключение клиента к серверу произошло буквально сразу. В состоянии подключения видно, что шифрование по ipsec работает, а пакеты мало по мало передаются.

https://ibb.co/mbZXR71

https://ibb.co/q1dzXR0

Пинги от роутеров друг к другу ходят исправно, трассировка показывает один прыжок прямиком от роутера к роутеру.

https://ibb.co/Jm64PzW

И вот дальше начинается непонятная для меня ситуация. Если попытаться пропинговать с роутера в головном офисе (GW1) хост PC3 (192.168.2.247) то пинги не проходят, а в встроенной утилите Torch мы видим следующее:

https://ibb.co/ck6Wwxg

https://ibb.co/j4cdPdz

На роутере филиала (GW2) в утилите Torch картина такая:

https://ibb.co/2qQ943Z

https://ibb.co/chq3W5V

Т.е. прием пакетов на GW 2 осуществляется, а дальше он передается на бридж и тут он как бы замыкается (поправьте если не так).
Всё бы ничего, если бы данная ситуация применялась ко всем хостам, однако если пинговать с GW1 хост PC2 (192.168.2.246), то картина уже совершенно иная
На роутере GW1 мы видим:

https://ibb.co/mtKmZgg

https://ibb.co/ZNqKDHc

На GW2:

https://ibb.co/m5SWMwG

https://ibb.co/VVT8BtX

Таким образом получается, что второй хост в сети пингуется. Пинги с хостов сети GW1 на хосты GW2 идут по тому же принципу.
Если же пинговать сеть GW1 из сети GW2 то тут становится еще интересней. Роутер GW1, контролер домена(DC) и почти все хосты, отлично пингуются с любого хоста из сети GW2.
Хост PC 3 из сети GW2 пингует хосты сети GW1:

https://ibb.co/2sK4XgS

Отслеживаем трафик в GW1:

https://ibb.co/C0wH4T4

Но вот веб-сервер (192.168.1.139) пинги не принимает.
Хост PC 3 из сети GW2 пингует веб-сервер в сети GW1:

https://ibb.co/rfJbMLr

Трафик в GW2:

https://ibb.co/HDcwNtv

Трафик в GW1:

https://ibb.co/F4D1Hyj

И вишенка на торте... как следствие неправильной работы сетевого уровня, не работает домен в сети GW2.

p.p.s
Черт возьми, никак не могу включить отображение картинок, пришлось добавить ссылки, искренне надеюсь на понимание...

[xvo]

Проблема в том, что часть хостов пингуется, а часть нет?
На тех, которые не пингуются настраивайте/отключайте firewall.

[NoobAdmin]

Проблема в том, что часть хостов пингуется, а часть нет?

Резюмирую проблему актуальную на текущий момент.
1)Хосты, которые сидят в сети GW1 не видят хостов в сети GW2. Но маршрутизатор GW2 пингуется.
2)Хосты из сети GW2 видят хосты сети GW1, но веб-сервер недоступен, он не пингуется (он доступен только в сети GW1).
3)Не доступен контроллер домена из сети GW2, хотя по адресу он пингуется.

На тех, которые не пингуются настраивайте/отключайте firewall.

Так ведь ничего не включено (ни в брандмауре, ни в firewall микротиков), антивирус и тот отключил, хотя он согласно настройкам не блокирует icmp протокол.

[xvo]

Посмотрел побольше из ваших картинок: у вас NAT неправильно настроен - он в том числе и на туннели работает.
Единственным условием на маскарадах должен быть out-interface=wan_интерфейс (ну либо out-interface-list=WAN если используется).

[NoobAdmin]

Посмотрел побольше из ваших картинок: у вас NAT неправильно настроен - он в том числе и на туннели работает.
Единственным условием на маскарадах должен быть out-interface=wan_интерфейс (ну либо out-interface-list=WAN если используется).

Настроил данное правило NAT на обоих роутерах. В результате, хосты сети GW1 доступ к сайтам имеют, а на хостах сети GW2 сайты не грузят. Гугловские днс c хостов сети GW2 не пингуются. Перезагружать роутер нужно?

[xvo]

Конфиги приложите вместо картинок.

[NoobAdmin]

Конфиги приложите вместо картинок.

Вот, пожалуйста

 GW1

[Admin@MikroTik] > export compact
# mar/27/2023 17:54:22 by RouterOS 6.49.7
# software id = UKM0-FTZ0
#
# model = RB952Ui-5ac2nD
# serial number = BEE40BF3E469
/interface l2tp-server
add comment="VPN filial" name="L2TP VPN" user=XXX
/interface bridge
add arp=proxy-arp comment="Local Network" name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN mac-address=60:E3:27:ED:0D:89
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=LAN
set [ find default-name=ether4 ] comment=LAN
set [ find default-name=ether5 ] comment=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys name=profile1 supplicant-identity="" wpa-pre-shared-key= ***** wpa2-pre-shared-key=*****
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n comment=WLAN country=russia disabled=no frequency-mode=manual-txpower mode=ap-bridge security-profile=profile1 ssid=altlsenetwork station-roaming=enabled
set [ find default-name=wlan2 ] antenna-gain=0 comment=WLAN country=no_country_set frequency-mode=manual-txpower mode=ap-bridge security-profile=profile1 ssid=altlse station-roaming=enabled
/interface wireless manual-tx-power-table
set wlan1 comment=WLAN
set wlan2 comment=WLAN
/interface wireless nstreme
set wlan1 comment=WLAN
set wlan2 comment=WLAN
/ip ipsec policy group
add name=ikev2-polices
/ip ipsec profile
add name=IKEv2
/ip ipsec peer
add exchange-mode=ike2 local-address=80.79.70.95 name=IKEv2-peer passive=yes profile=IKEv2
/ip ipsec proposal
add name=IKEv2 pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.1.50-192.168.1.137,192.168.1.140-192.168.1.254
add name=ikev2-pool ranges=192.168.10.2-192.168.10.100
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-local lease-time=3d name=dhcp1
/ip ipsec mode-config
add address-pool=ikev2-pool address-prefix-length=32 name=IKEv2-cfg split-dns=192.168.1.1 split-include=192.168.1.0/24 static-dns=192.168.1.2,192.168.1.1 system-dns=no
/ppp profile
set *FFFFFFFE local-address=192.168.20.1 remote-address=192.168.20.2 use-encryption=required
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=wlan2
/ip firewall connection tracking
set tcp-established-timeout=2h
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=*****2 use-ipsec=required
/ip address
add address=80.79.70.95/24 interface=ether1 network=80.79.70.0
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.2,192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=213.87.210.20,213.87.211.20,8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F5\EE\E4\FF\F9\E5\E3\EE \F2\F0\E0\F4\E8\EA\E0" connection-state=established,related,untracked disabled=yes
add action=drop chain=input comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\E0 \E2\F5\EE\E4\FF\F9\E5\E3\EE \EF\E0\F0\E0\E7\E8\F2\ED\EE\E3\EE \F2\F0\E0\F4\E8\EA\E0" connection-state=invalid disabled=yes
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \ED\E0 \EF\E8\ED\E3 \F0\EE\F3\F2\E5\F0\E0" disabled=yes protocol=icmp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\F2\FC \E2\F5\EE\E4\FF\F9\E5\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\E5 \E4\EB\FF L2TP \EF\EE \EF\EE\F0\F2\F3 1701" disabled=yes dst-port=1701 protocol=udp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\F2\FC \E2\F5\EE\E4\FF\F9\E5\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\E5 \E4\EB\FF L2TP \EF\EE \EF\EE\F0\F2\F3 4500, 500" disabled=yes dst-port=4500,500 protocol=udp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\F2\FC \E2\F5\EE\E4\FF\F9\E5\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\E5 \E4\EB\FF IPsec" disabled=yes protocol=ipsec-esp
add action=drop chain=input comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\E0 \EE\F1\F2\E0\EB\FC\ED\EE\E3\EE \E2\F5\EE\E4\FF\F9\E5\E3\EE \F2\F0\E0\F4\E8\EA\E0" disabled=yes
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \F2\F0\E0\ED\E7\E8\F2\ED\EE\E3\EE \F2\F0\E0\F4\E8\EA\E0" connection-state=established,related,untracked disabled=yes
add action=drop chain=forward comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\E0 \F2\F0\E0\ED\E7\E8\F2\ED\EE\E3\EE \EF\E0\F0\E0\E7\E8\F2\ED\EE\E3\EE \F2\F0\E0\F4\E8\EA\E0" connection-state=invalid disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip ipsec identity
add auth-method=digital-signature certificate=mikrotik generate-policy=port-strict mode-config=IKEv2-cfg peer=IKEv2-peer policy-template-group=ikev2-polices
/ip ipsec policy
add dst-address=192.168.10.0/24 group=ikev2-polices proposal=IKEv2 src-address=0.0.0.0/0 template=yes
/ip route
add comment="Route WAN" distance=1 gateway=80.79.70.95
add comment="Route XXX" distance=1 dst-address=192.168.2.0/24 gateway=192.168.20.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=bridge-local type=internal
/ppp secret
add comment="User VPN" local-address=192.168.20.1 name=XXX password=***** profile=default-encryption remote-address=192.168.20.2 service=l2tp
/system clock
set time-zone-name=Asia/Barnaul
/system ntp client
set enabled=yes primary-ntp=193.171.23.163 secondary-ntp=85.114.26.194
/tool graphing
set store-every=hour
/tool graphing interface
add

 GW2

[Admin@RouterOS] > export compact
# mar/27/2023 18:03:33 by RouterOS 6.49.7
# software id = 97AP-XVRQ
#
# model = RB952Ui-5ac2nD
# serial number = HCN083PWNZ3
/interface bridge
add arp=proxy-arp name=bidge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
/interface pppoe-client
add add-default-route=yes comment="PPPoe WAN" disabled=no interface=ether1 \
keepalive-timeout=60 name=rostelecom password=MVKWnhtI use-peer-dns=yes \
user=6228820-079-369
/interface l2tp-client
add allow=mschap2 comment="VPN HQ" connect-to=80.79.70.95 disabled=no \
ipsec-secret=*****2 name="L2TP VPN " password=***** \
use-ipsec=yes user=XXX
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.2.10-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bidge-local lease-time=3d \
name=dhcp1
/ppp profile
set *FFFFFFFE local-address=192.168.20.2 remote-address=192.168.20.1 \
use-encryption=required
/interface bridge port
add bridge=bidge-local interface=ether2
add bridge=bidge-local interface=ether3
add bridge=bidge-local interface=ether4
add bridge=bidge-local interface=ether5
add bridge=bidge-local interface=wlan1
add bridge=bidge-local interface=wlan2
/ip address
add address=192.168.2.1/24 interface=bidge-local network=192.168.2.0
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1,192.168.1.2,192.168.1.1 \
gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input disabled=yes protocol=icmp
add action=accept chain=input connection-state=established disabled=yes \
in-interface=ether1
add action=accept chain=input connection-state=related disabled=yes \
in-interface=ether1
add action=drop chain=input disabled=yes in-interface=ether1
add action=jump chain=forward disabled=yes in-interface=ether1 jump-target=\
customer
add action=accept chain=customer connection-state=established disabled=yes
add action=accept chain=customer connection-state=related disabled=yes
add action=drop chain=customer disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.2.0/24
/ip route
add comment="Route HQ" distance=1 dst-address=192.168.1.0/24 gateway=\
192.168.20.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
/system clock
set time-zone-name=Asia/Barnaul
/system identity
set name=RouterOS

[xvo]

На втором NAT так и не изменен.

[NoobAdmin]

На втором NAT так и не изменен.

Пришлось вернуть в исходное состояние, так как отваливается интернет на хостах. Но на момент установки рекомендуемой конфигурации, проблема с пингом не уходила.

[xvo]

Так а на что вы его там изменяли?
Учитывали, что там у вас pppoe, а не ether1?