VPN Tunnel L2TP/IpSec

[cobion]

Можете написать к- как необходимо что бы было правильно,...для примера хотя бы ?

[cobion]

Так устроет ?
add action=masquerade chain=srcnat log=yes out-interface=ether1

[cobion]

Вот что пишет из сети 192.168.1.0.24
Tracing route to 10.47.1.99 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 7 ms * 7 ms 10.47.1.99

Trace complete.
PS C:\> tracert 10.47.1.44

Tracing route to 10.47.1.44 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 9 ms * 5 ms 10.47.1.99
3 * * * Request timed out.
4

А это трэйс из 10.47.0.0/22

PS C:\> tracert 192.168.1.1

Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 10.47.1.99
2 7 ms * 8 ms 192.168.1.1

Трассировка завершена.
PS C:\> tracert 192.168.1.103

Трассировка маршрута к 192.168.1.103 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 10.47.1.99
2 7 ms * 8 ms 192.168.1.1
3 18 ms 11 ms 12 ms 192.168.1.103

Трассировка завершена.

[Vlad-2]

Так устроет ?
add action=masquerade chain=srcnat log=yes out-interface=ether1

Задача чтобы НАТить запросы от Вашей сети при уходе в глобал только.
При уходе запросов в канал/в филиал натить их не надо.

И удалите маршруты серые на интерфейсы провайдеров....они не нужны...

[cobion]

Так устроет ?
add action=masquerade chain=srcnat log=yes out-interface=ether1

Задача чтобы НАТить запросы от Вашей сети при уходе в глобал только.
При уходе запросов в канал/в филиал натить их не надо.
Вот так -add action=masquerade chain=srcnat log=yes out-interface=pppoe-out1 src-address=192.168.1.0/24


И удалите маршруты серые на интерфейсы провайдеров....они не нужны..
Удалил, но теперь отвалился RDP. То есть если убираю серые роуты на обоих роутерах- РДП не работает внутренее.
.

[Vlad-2]

давайте так
1) делаем заглушку (чтобы наши серые адреса точно не про-натились)

Код: Выделить всё

chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=10.47.0.0/24

То есть если придёт пакет с 192 то он и уйдёт на 10....

а вот вторым правилом (именно оно должно быть вторым) уже можно делать нат для Вашей сети
2)

Код: Выделить всё

chain=srcnat action=masquerade src-address=192.168.1.0/24 log=yes out-interface=ether1

Ну и также с другой стороны в зеркальном режиме по адресам

P.S.
скажите честно..вы сами настраивали микротики всё или всё же кто-то ????

[cobion]

давайте так
1) делаем заглушку (чтобы наши серые адреса точно не про-натились)
chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=10.47.0.0/24

То есть если придёт пакет с 192 то он и уйдёт на 10....через out interface [b]pppoe-out1- внешний , правильно ?[/b]

а вот вторым правилом (именно оно должно быть вторым) уже можно делать нат для Вашей сети
2)
chain=srcnat action=masquerade src-address=192.168.1.0/24 log=yes out-interface=ether1

Здесь интерфейс не ether1 а [b]pppoe-out1, так как через внешний интерфейс же правильно ?[/b]

Все это было изначально сделано. Делал я по мануалам, но а там уже был кто-то кто все это наворотил....

Ну и также с другой стороны в зеркальном режиме по адресам

P.S.
скажите честно..вы сами настраивали микротики всё или всё же кто-то ????

[podarok66]

Это что за оверквотинг? Давайте-ка поправьте посты по существу, пока тему не порезал

[cobion]

Еще в начальных настройках , там где параметр DHCP Server , диапазон начинается с 10.47.1.1, а роутер 10.47.1.99 - не может ли быть проблемы, что роутер находится в диапазоне раздачи DHCP, хотя в принципе он статичен ?

[Vlad-2]

Я Вам показал пример, а адресацию, интерфейсы вы подставляете верные и правильные...
Файрволл - вообще я бы в разделе Фильтрес Рулез вырубил просто всё....
Такое ощущение что 3-4 разных инструкции влили вместе...ассорти и получилось ужасное.

Также поймите, если Вы работаете с филиалом, в рамках туннеля, то туннель это
самостоятельный отдельный интерфейс...и гнать серую свою всю сетку в сторону провайдеру - не надо,
ему точно и не надо, ещё и поругать может.

И научитесь правильно отделять мои сообщения и свои...я теряюсь...где Ваш ответ...