Добрый вечер!
Vlad-2 очень нужна ваша помощь)
Задача немного усложнилась, изначально мне нужно было прокинуть трафик определенного пользователя в туннель, теперь добавилось несколько моментов.
1. В главном офисе (R1) 2 внешних ip адреса 1.1.1.2 и 3.3.3.2, USB lte modem (hilink) c адресом 192.168.8.1.
2. R2 без изменений.
3. R3 в проекте.
Задача из внутренней сети R1 часть пользователей выпускать в интернет через интернет lte, R2, R3, в офисе R1 2 внешних адреса, 1.1.1.2 для выхода в интернет всех оставшихся пользователей, 3.3.3.2 выходит в интернет только 192.168.10.2, и обратно 3.3.3.2:2222->192.168.10.2:2222
После перепрошивки модема lte, mikrotik в R1 был сброшен до заводских настроек, так как lte решительно не хотел работать с существующей конфигурацией.
обновленная схема во вложении.
Получилось:
192.168.10.23 выходит в интернет через lte
192.168.10.22 выходит в интернет через ipip-tunnel1
192.168.10.2 выходит в интернет с адресом 3.3.3.2
Проброс с 3.3.3.2 порт 2222 приводит к 192.168.10.2:2222
Не получилось
192.168.10.0/24 нет интернета.
Конфигурация выборочно на R1.
/ip firewall
mangle
add action=mark-routing chain=prerouting new-routing-mark=ip_mail \
passthrough=yes src-address-list=ip_2222
add action=mark-routing chain=prerouting new-routing-mark=ip_user_lte \
passthrough=yes src-address-list=ip_user_lte
add action=mark-routing chain=prerouting new-routing-mark=ip_user_tsvet \
passthrough=yes src-address-list=ip_user_ipip-tunnel1
/ip firewall
nat
add action=accept chain=srcnat comment=USER_ipip-tunnel1 disabled=yes \
dst-address-list=net_ipip-tunnel1 out-interface=ipip-tunnel1 src-address-list=\
net_local
add action=masquerade chain=srcnat comment=USER_LTE disabled=yes \
dst-address-list=!net_local out-interface=lte1 src-address-list=\
ip_user_lte
add action=src-nat chain=srcnat comment=2222_OUT routing-mark=ip_2222 \
src-address-list=ip_mail to-addresses=3.3.3.2
add action=dst-nat chain=dstnat comment=2222 dst-port=2222 \
protocol=tcp to-addresses=192.168.10.2
add action=src-nat chain=srcnat comment=USER_OUT out-interface=bridge_WAN \
src-address=192.168.10.0/24 to-addresses=1.1.1.2