да

Это обычно и входит в рекомендуемые конфигурации, а в чём суть вопроса?

Вопрос в переводе удаленных точек с l2tp на ike2
И динамической маршрутизации

Хорошая идея, сразу делайте X.509 CA + SCEP

Добрый день всем, ребята!
Есть вопрос уровня( чашка), извините за ранее за чушь(если такова будет прослеживаться).
Есть мкротик rb952, на нем настроены:
1bridge 1 (ppoe навесил на WAN(имя нужное мне) который так же в бридже(ether1) - (ether1-ether5+wlan1) - все отлично работает.
Есть желание настроить wlan2(5гц лишь для теста), хоть палите из ГАУБИЦЫ, не могу понять как мне инет в vlan 2 прокинуть.
Немного запутался в том через что это сделать, оч редко задаю вопросы, но лучше я буду почемучкой надоедливой, чем не понимать до конца дней)))

А если vlan тоже в бридж где интернет прицепить?

а я хочу для это влан свою сеть (моя цель - несколько сетей и лишь избранные имею доступ в инет)

Добрый день

а vlan тут зачем

Подскажите может кто то сталкивался с проблемой, одна из точек семантически делает реконект l2tp соединений, их не сколько и рвет сразу все, перелопатил железку с ног до головы ничего не вижу

для изоляции? на роутере для этого достаточно в фаирволе запретить форвардинг из одной сети в другую. можно даже сделать так чтоб можно было ходить из одной в другую но не наоборот Ж)

Напомните, plz. Уже однажды ходил по этим граблям, но не могу вспомнить, как починил.
Дано:
1. Локальная сеть (192.168.0.0/24)
2. DMZ сеть (1.2.3.0/24), почтовый сервер живёт на 1.2.3.4, его внутренний IP 192.168.253.6
3. Внутренняя сервисная сеть для маппинга DMZ (192.168.253.0/24)

Что нужно:
1. Все запросы к почтовому серверу по адресу 1.2.3.4 должны уходить на 192.168.253.6
2. Все исходящие запросы от почтового сервера в интернет должны уходить с подменой src ip на 1.2.3.4

Настроены NAT правила:
add action=src-nat chain=srcnat log=yes log-prefix=MAIL_OUT_NAT: out-interface-list=WAN src-address=192.168.253.6 to-addresses=1.2.3.4
add action=dst-nat chain=dstnat dst-address=1.2.3.4 log=yes log-prefix=MAIL_IN_NAT: to-addresses=192.168.253.6

А теперь проблема - если из внутренней сети (192.168.0.0/24) сделать ping на 1.2.3.4, то ответы приходят от 192.168.253.6. На SYN пакеты ответы также приходят с 192.168.253.6
Т.е. NAT срабатывает как-то хитро, только в одну сторону. В ответном пакете src ip не подменяется.
Если же заходить через интернет, то проблем нет.

В чём может быть дело?

Блин, сам понял.
У меня 192.168.253.0/24 и 192.168.0.0/24 живут на одном бридже, т.е. по ответным пакетам срабатывает switching :(

Хаирпин NАТ настройте

Мне ещё и SourceIP желательно сохранить, хотя в качестве быстрого решения - вполне вариант.

Правильный путь - вынести на отдельный birdge (с пробросом интерфейсов)
Неправильный - вытащить с уровня switching'а обратный пакет на уровень routing'а и там уже сработает NAT. В микротике так можно? :)

подскажите хочу из CRS317-1G-16S+RM сделать просто "расширитель 10G портов" - что лучше использовать RouterOS или SwOS ?

Говорят, если есть возможность не использовать свос, нужно не использовать свос

Отдельный бридж не нужен. Можно вланами разрулить.

Коллеги, привет! Скажите пожалуйста, есть ли в интернетах таблица совместимости SFP-модулей cо свичами Микротик? Конечная задача - добавить шестой порт к   CSS106-1G-4P-1S

да, была на wiki, но там только родные микротиковские модули.