PISTA1:
Ja pouzivam na pobocky OVPN a SSTP pro cestujici Windows, protože mi vyslo pred lety jako nejmene problematicke. A tahle se chova spatne nastaveni firewallu a nebo routovani.

Jeste by mohl byt problem v tom ze APcko .200 nevi kde je brana... Coz tedy APcko v bridge modu vedet nemusi k tomu, aby plnilo svoji funkci, ale pak nebude odpovídat na ping do jiné site... Ale perdpokladam zes zkousel ping i na něco jiného za Mikrotikem.
A tedy mit maskaradu jinam, nez do internetu nemá smysl, protoze se pak schova cela sit při routovani "uvnitr".

TLOUDEV: Povolený ICMP pro wan mám na svým RB kvuli tomu abych si moh pingnout z netu, tady postrádá smysl. Ty vrchní pravidla sem překopíroval z netu abych vůbec rozjel tunel. Tohle bylo u toho ale nemá to na nic vliv takže to mám vyplý.

AHARAZ: 1,2 To sem zkoušel a nemá to na to vliv.

Sem to teď zkoušel smazat a nastavit to celý znova, samodřejmě že nic.

Já jen doprd... fakt nechápu z jakýho důvodu to jednostraně nefunguje, když sou na obou MT absolutně stejný nastavaní a pravidla.

PISTA1:
1. maskaradu si dej jen na iface do internetu. protoze jinak ti to skreje tu vnitrni sit za mikrotik i pro vpnku - teda pokud to na obrazku byl skutecne ping z nejakho pc a ne primo z mikrotiku
2. pravidlo pro forward si udelej i z druhe strany tj z 192.168.10/24 na 192.168.20.1

PISTA1: v tech pravidlech nevidim zadne input pravidlo pro sit 2. input accept icmp mas jen pro 1 wan. ale je fakt, ze nevim, jaka je default input policy. navrch tam mas na inputu globalni pravidlo jump-target ppp, ale chain ppp nevidim.

sem to vzal ze zoufalství do práce, jestli to náhodou nedělá připojení přes sdílenou wifi z mobilu a co myslíte, nedělá :(

to bude string

LEXXA: Treba to nebude fungovat. Nezkousel jsem to. Zadat ano, ale co to prideli a jak to nevim.

KUTNY: nechapu jakto ze me to nenapadlo.

LEXXA:
ip dhcp-server option set 6 code=6 value="'1.2.3.4,5.6.7.8'"

KUTNY: zkousel jsem '1.2.3.4','4.3.2.1' a '1.2.3.4';'4.3.2.1' v kazdem pripade to mikrotik vyhodnocuje jako data type missmatch.

LEXXA: (6,'1.2.3.4,5.6.7.8') nebo se strednikem si asi zkousel, ze?

LEXXA: Jo, ja se zapomnel zeptat, co mi unika :-)

KUTNY: kdyby to bylo tak easy :))
mam dhcp clienta ktery si bere adresu a ten je (use-peer-dns=no), /ip dns jsem rucne nastavil aby pouzival localhost a opendns masiny. ale! potrebuji aby jedno konkretni zarizeni v dhcp poolu dostavalo dns od providera. zatim dobry
v ip dhcp-server options jsem nastavil option 6 a jedou adresou. otazkou je jak tam dotlacit druhou se stehnym optionID

AHARAZ: když tam hodím tohle pravidlo tak vidím že se při pingu načítaj pakety, nicméně zpátky už to neprojde.

Nat tam samozřejmě je. action=masquerade chain=srcnat src-address=192.168.1.0/24

LEXXA: /ip dhcp-server network set 0 dns-server=192.168.88.1,192.168.88.2 ?

dle toho tveho obrazku bych zkusil pravidlo na forward z 192.168.20.1 do 192.168.1.0/24 a teda jeste si rikam zda tam nemas nat/maskaradu nebo jestli to byl ping z mikrotiku na mikrotik

rychla otazka.
mam dhcp server. definuji si option (6,'1.2.3.4')
nenapa vas jak definovat druhou dns ip?

AHARAZ: Udělal sem je na obou MT a zatímco u mě vidím, načítání paketů tak na 750 ani ťuk.

Házím sem export z 750, třeba tam je někde nějaká zjevná bota, ale já nic nemůžu najít.

• 750.txt

Udelej si tam pravidlo na forward z jedne site do druhe, at vidis aspon, ze do toho pravidla neco pada. Treba najdes co to pozira... Pokud by to bylo firewallem...

AHARAZ: Jo je to tak jak píšeš, z 10.x si pingnu jen na bránu 192.*, ale je to pouze jednostraný. Z 192.x si pingnu kamkoliv na 10.x Přičemž pravidla firewallu i všechno ostatní je na obou MK totožný.

PISTA1: Firewall a rozdil mezi inputem a forwardem? Teda strilim od boku, nemam uplne na to ted pochopit cely problem z probehle komunikace.
Ted nevim jestli to popisu pochopitelne, ale v konfiguraci: LAN1 10.0.0.0/24 s IP Mikrotiku 10.0.0.1, LAN2 192.168.1.0/24 s IP Mikrotiku 192.168.1.1
Muzes i pri zakazanem forwardu pingnout z libovolneho zarizeni v 10.0.0.0/24 na 192.168.1.1, ale na zarizeni za mikrotikem v 192.168.1.0/24 si uz nepingnes...