Проблема в следующем:
есть два микротика: 1-RB1100AHx2 и 2-RB751G-2HnD.
на 1 подсеть 192.168.0.0/24 ip в бридже(название интерфейса LAN) 192.168.0.1.
на 2 подсеть 192.168.2.0/24 ip в бридже(название интерфейса LAN) 192.168.2.1.
2 подключен к интернету через модем Yota.
на 2 микротике:
/interface print
Код: Выделить всё
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU
0 R LAN bridge 1500 1598
1 R SW1-DVR ether 1500 1598
2 RS SW2-SHUSE ether 1500 1598
3 SWITCH3 ether 1500 1598
4 SWITCH4 ether 1500 1598
5 SWITCH5 ether 1500 1598
6 S WLAN-saltycova wlan 1500 2290
7 R YOTA lte 1500
8 R baza l2tp-out 1460
/ip address print
Код: Выделить всё
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.2.1/29 192.168.2.0 LAN
1 D 10.0.0.10/24 10.0.0.0 YOTA
2 D 192.168.1.2/32 192.168.1.1 baza
/ip firewall nat print
Код: Выделить всё
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade to-addresses=0.0.0.0
src-address-list=inet out-interface=YOTA
/ip firewall address-list print
Код: Выделить всё
Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 inet 192.168.2.2
1 inet 192.168.2.4
/ip dhcp-server print
Код: Выделить всё
Flags: X - disabled, I - invalid
# NAME INT.. RELAY ADDRESS-POOL LEASE-TIME ADD
0 dhcp1 LAN static-only 1d
/ip dhcp-server lease print
Код: Выделить всё
Flags: X - disabled, R - radius, D - dynamic, B - blocked
# ADDRESS MAC-ADDRESS H
0 192.168.2.2 00:15:F2:03:B1:2D h
1 192.168.2.4 90:21:55:D8:FC:B5 A
2 192.168.2.3 00:19:9C:04:D2:D7
/ip route print
Код: Выделить всё
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY
0 ADS 0.0.0.0/0 10.0.0.1
1 ADC 10.0.0.0/24 10.0.0.10 YOTA
2 A S 192.168.0.0/23 192.168.1.1
3 ADC 192.168.1.1/32 192.168.1.2 baza
4 ADC 192.168.2.0/29 192.168.2.1 LAN
На 1 микротике:
/interface print
Код: Выделить всё
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 R SW1-LAN ether 1500 1598 9498
1 RS SW2-WIFI ether 1500 1598 9498
2 S SW3 ether 1500 1598 9498
3 R VPN ether 1500 1600 9116
4 R WAN ether 1500 1598 9498
5 ether5 ether 1500 1598 9498
6 ether6 ether 1500 1598 9498
7 ether7 ether 1500 1598 9498
8 ether8 ether 1500 1598 9498
9 ether9 ether 1500 1598 9498
10 ether10 ether 1500 1598 9498
11 ether11 ether 1500 1600 9500
12 ether12 ether 1500 1600 9116
13 RS EoIP-DIC eoip 1500 65535
14 X EoIP-HAB1 eoip 1500 65535
15 X EoIP-HAB2 eoip 1500 65535
16 X EoIP-HAB3 eoip 1500 65535
17 XS EoIP-SALTYKOVA eoip 1500 65535
18 R L2TP-SALTYKOVA l2tp-in 1460
19 R LAN bridge 1500 1598
20 R VTK-PPPoE pppoe-out 1480
/ppp profile print
Код: Выделить всё
Flags: * - default
0 * name="default" use-mpls=default use-compression=default
use-vj-compression=default use-encryption=default only-one=default
change-tcp-mss=yes address-list=""
1 * name="default-encryption" local-address=192.168.1.1 remote-address=ppp_pool
bridge=LAN use-mpls=default use-compression=default
use-vj-compression=default use-encryption=yes only-one=default
change-tcp-mss=yes address-list="" dns-server=192.168.1.1
/ppp secret print
Код: Выделить всё
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 sasha any * default-e...
1 saltykova any * default-e... 192.168.1.2
2 hab-1-... any * default-e...
3 hab-1-zal any * default-e...
4 kawbath any * default-e...
/ip firewall nat print
Код: Выделить всё
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; radmin 192.168.0.121
chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=4899 protocol=tcp in-interface=VTK-PPPoE dst-port=4899
1 ;;; radmin 192.168.0.121
chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=4899 protocol=tcp in-interface=VPN dst-port=4899
2 ;;; admin 192.168.0.120
chain=dstnat action=dst-nat to-addresses=192.168.0.120 to-ports=4899 protocol=tcp in-interface=VTK-PPPoE dst-port=4850
3 ;;; admin 192.168.0.120
chain=dstnat action=dst-nat to-addresses=192.168.0.120 to-ports=4899 protocol=tcp in-interface=WAN dst-port=4850
4 ;;; radmin 192.168.0.121
chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=4899 protocol=tcp in-interface=WAN dst-port=4899
5 ;;; nod-update 192.168.0.121
chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=80 protocol=tcp in-interface=VTK-PPPoE dst-port=80
6 ;;; saltykova http dvr
chain=dstnat action=dst-nat to-addresses=192.168.2.3 to-ports=8000 protocol=tcp in-interface=VTK-PPPoE dst-port=8000
7 ;;; nod-update 198.167.101.38
chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=80 protocol=tcp in-interface=VPN dst-port=80
8 ;;; nod-update 192.168.0.121
chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=80 protocol=tcp in-interface=WAN dst-port=80
9 ;;; dvr-office
chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=5920-5921 protocol=tcp in-interface=VTK-PPPoE dst-port=5920,5921
10 ;;; dvr-office
chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=5920-5921 protocol=tcp in-interface=WAN dst-port=5920,5921
11 ;;; dvr-baza
chain=dstnat action=dst-nat to-addresses=192.168.0.110 to-ports=5922-5923 protocol=tcp in-interface=VTK-PPPoE dst-port=5922,5923
12 ;;; dvr-saltykova
chain=dstnat action=dst-nat to-addresses=192.168.2.3 to-ports=5924-5925 protocol=tcp in-interface=VTK-PPPoE dst-port=5924-5925
13 ;;; Wake-On-Lan
chain=dstnat action=dst-nat to-addresses=192.168.0.254 to-ports=9 protocol=udp in-interface=VTK-PPPoE dst-port=9
14 ;;; radmin-admin
chain=dstnat action=dst-nat to-addresses=192.168.0.120 to-ports=4899 protocol=tcp in-interface=VTK-PPPoE dst-port=4850
15 chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address=192.168.1.128/25 dst-port=80
16 chain=srcnat action=masquerade src-address=192.168.0.0/23
/ip route print
Код: Выделить всё
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 85.15.96.1 1
1 ADS 10.0.0.0/8 10.103.30.1 10
2 ADC 10.103.30.0/24 10.103.30.204 WAN 0
3 ADS 85.15.64.0/18 10.103.30.1 10
4 ADC 85.15.96.1/32 85.15.99.239 VTK-PPPoE 0
5 ADS 172.16.0.0/12 10.103.30.1 10
6 ADS 192.168.0.0/16 10.103.30.1 10
7 ADC 192.168.0.0/24 192.168.0.1 LAN 0
8 ADC 192.168.1.2/32 192.168.1.1 L2TP-SALTYKOVA 0
9 ADS 192.168.2.0/29 192.168.1.2 1
10 A S 198.167.101.0/24 198.167.101.37 1
11 ADC 198.167.101.36/30 198.167.101.38 VPN 0
/ip address print
Код: Выделить всё
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.0.1/24 192.168.0.0 LAN
1 198.167.101.38/30 198.167.101.36 VPN
2 D 10.103.30.204/24 10.103.30.0 WAN
3 D 85.15.99.239/32 85.15.96.1 VTK-PPPoE
4 D 192.168.1.1/32 192.168.1.2 L2TP-SALTYKOVA
1 микротик поднимает пппое в интернет через адсл модем.
2 микротик через днс отпределяет айпи 1 (айпи динамика но на 2 скрипт резолвит днс в айпи и если что в l2tp-client(baza) меняет server adress)
2 микротик поднимает l2tp через йоту до 1 микротика: 1 микротик выдает второму адрес 192.168.1.2 сам получает адрес 192.168.1.1.
Между двумя подсетями 192.168.0.0/24 и 192.168.2.0/24 прописаны маршруты и функционирует L3 сеть.
Проблема: Все бы хорошо, но NAT на подсеть 192.168.2.0/24 не работает. То есть правило 6 dstnat срабатывает, action dst-nat to adress 192.168.2.3 to ports 8000 срабатывает но сам 192.168.2.3 пытается ответить через интерфейс YOTA (проверял через torch).
Наверное я что то упускаю, и возможность использовать нат в L3 сети есть. только как его использовать - не понимаю. что еще где нужно прописать?
Пробовал EoIP поверх L2TP - наты работали нормально, но изза ассинхронного канала на 1 EoIP между двумя микротиками был жутко медленный.
Главное стоит комп - шлюз в другом городе, маршрутизация осуществлена по такому же принципу - через L3. Только там все нормально отрабатывает.
Подскажите, как быть?