Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте!
LAN1:
Есть Mikrotik #1 смотрящий в Inet обычным Ethernet портом с самым обычным Real IP.За ним очень небольшая SOHO плоская сеть. Для хостов которой он - GW. В сети есть сервер DHCP и DNS. Тоесть _на хостах_ в таблице маршрутизации нет отдельного маршрута до LAN2 или микротик2

LAN2 - без хостов, только Микротиk#2 С таким же подключением. _Но за ним нет ни одного хоста.  Поднял между ними ip tunnel  IP sec passphrase :Со стороны Mikrotik1 11.1.1.1     Со стороны Mikrotik2 11.1.1.2 На №2 есть Route до LAN1. Но чего-то не хватает для счастья! Может Mangle и Route Mark...
Хочу, чтобы из LAN 1 определенные хосты с определенными IP выходили в мир и принимали из мира входящий трафик сугубо только исключительно ))) через  WAN IP Mikrotik 2.

Сейчас с хостов LAN 1 пингуется 11.1.1.2  Но не пингуется 192.168.2.1 (brige Mikrotik2).
Также с терминала Mikrotik 2 пингуются хосты в LAN1, но правила публикации - например RDP не перекидывают трафик. И да - пинг проходит через интерфейс IPtunnel. Если указываешь интерфейс Brige - борода.

Для того, что хочется, да, нужен и mangle и routing mark.

Почем не работает остальное:
1) не пингуется 192.168.2.1 - потому что на микротике 1 нет туда маршрута.
2) не работает RDP - скорее всего не пускает firewall на одном из микротиков (ICMP же в дефолтном конфиге разрешен)
3) ну так логично, что пингуется в тот интерфейс, который ведет куда надо, а в тот, который куда надо не ведет - не пингуется.

Да, я создал на Микрот1 маршрут до 192.168.2.0 Ping работает в любую сторону теперь.
Проблема с RDP. Создал на №2 на Ether1(ISP) DST-NAT с порта 3389 на ip 192.168.1.2 в LAN Mikrotik1 создал правило Firewall Filter Forward All на обоих микротиках... Не происходит НАТ до 192.168.1.2:3389 Тогда в дефолтном правиле masquerade меняю out int c WAN на свой Tunnel. НАТ заработал и в терминал я зашёл. Но мне это не кажется правильным.
Но как бы вы посоветовали решить задачу правильно? Я хочу чтобы определённые хосты в LAN1, которые крайне легко пометить, могли выходить в Инет ТОЛЬКО Mikrotik 2. Среди них есть и серврера, к которым будут обращаться только через Микрот 2.

А вот оно что, RDP имеется ввиду снаружи второго, до сети первого.

Тогда опять же mangle и отдельная таблица маршрутизации.
На первом тогда нужно помечать соединения пришедшие через туннель, и обратные пакеты в этих соединениях отправлять не по дефолтному машруту, а по другой таблице маршрутизации.

Как конкретно это делается, на форуме рассказывалось много раз.
Например вот:
viewtopic.php?p=76443#p76443

Как отправлять в эту же таблицу то, что идет изнутри и попадает под какие-то правила тоже должно быть примерно понятно.

Да, и главное эти соединения, которые имеют connection-mark исключать из fasttrack'а.

Спасибо большое за помощь. Всё работает - осталась тонкая настройка "Этому дала, этому не дала"