Russian Users MikroTik | Форум пользователей MikroTik

evgeniy7676 писал(а):я бы сделал так
/ip firewall nat
add action=dst-nat chain=dstnat comment=terminal-server dst-address=\
192.168.11.1 dst-port=3389 log=yes log-prefix=rdp_ protocol=tcp \
src-address=192.168.11.0/24 to-addresses=192.168.1.2 to-ports=3389


192.168.11.1 -это адрес сервера впн ,на микротике это локал адрес
192.168.11.0/24 --сеть выдаваемая впн пользователям
192.168.1.2--адрес терминального сервера в локальной сети

vqd писал(а):не передадите вы маршруты, не умеет это ни l2tp ни pptp в принципе, умеет только ovpn но на микротике этой функции тоже нет, обещали поправить в RouterOS 7

Я не уверен (вроде работало, не помню уже)
В профиле добавляете блидж, на бридже указываете arp-proxy Пул даете из вашей же сети. В текущую сеть доступ будет, если что то маршрутизировать нужно то уже без галки ни как.

Как решение этой проблемы тот же Microsoft предлагает утилиту CMAK, входит в состав любой серверной ОС (опять же на 2012 надо смотреть, на 2008 точно), там можно настроить клиентское ВПН соединение и прописать маршруты и юзеру давать как готовое решение которое само все настроит

vqd писал(а):Смотрите чего в соединениях происходит. А там уже нужно думать.
Хотя... если пальцем в небо:

Подмените адрес источника на адрес тоннеля который со стороны микротика. Думаю тогда все у вас получится если вы ломитесь из сети за микротиком

add action=masquerade chain=srcnat src-address=192.168.9.0/24

vqd писал(а):Опять же пальцем в небо (ибо конфига вашего нет)
Галку смотрите /interface bridge settings set use-ip-firewall=yes