vadimbn

Реально. На внешнем сервере - хоть по каждому клиенту в сети. Инструменты для этого есть - сенсор NetFlow, сервер SNMP.

Ну тогда попробуйте вместо GigabitEthernet0/Vlan1010 вбить Bridge1010 interface Bridge1010 mac address YOUR:OLD:MAC exit system configuration save

Если у вас это GigabitEthernet0/Vlan1010, то именно его и надо настраивать. interface GigabitEthernet0/Vlan1010 mac address YOUR:OLD:MAC exit system configuration save

А что там может ограничивать-то? Конечно, вы можете менять любые настройки сколько угодно раз.

Командами interface GigabitEthernet1/Vlan1010 mac address YOUR:OLD:MAC exit system configuration save

Да, интерфейс есть, поднят, но подключения нет. Как вариант - идет проверка сетевого оборудования по MAC-адресу. Решить эту проблему можно двумя путями, первый - прописать этому VLAN-интерфейсу MAC-адрес старого роутера, второй - позвонить провайдеру и попросить перерегистрировать MAC.

Судя по этому - да. Зайдите в CLI (используя Telnet) и посмотрите свойства интерфейса, в котором есть сочетание букв и цифр Vlan1010 (обычно он называется GigabitEthernet0/Vlan1010), командой show interface GigabitEthernet0/Vlan1010

Конфигурируя отдельный VLAN, Вы создали новый сетевой интерфейс. Его надо настраивать отдельно. Вам выдали данные соединения в этом VLAN? IP-адрес интерфейса, шлюз, серверы имен?

up

Извиняюсь, у вас другая задача. По постановке задачи в заголовке можно было подумать, что внешнему интерфейсу присвоено несколько белых IP, и нужно пробросить порт только по одному из них. У вас же надо разрешить доступ к порту одному из адресов в интернете, здесь да, решается с помощью файрвола.

Ну да, каждый сходит с ума по своему. На самом деле все там прозрачно, если смотреть не в веб-интерфейс (где как раз ничего не прозрачно), а в файл конфигурации.

Не проще ли было бы сделать проброс не на интерфейс ISP, а именно на конкретный адрес этого интерфейса, командой ip static?

Что вы имеете в виду? То, что в Proposals?

Если нужна сеть за кинетиком, и если там при создании туннеля есть трансляция адресов - да. Для чего - у вас в политиках указаны конкретные сети, которые должны быть доступны с обеих сторон. А маскарадинг подменяет, маскирует внутреннюю сеть IP-адресом роутера. Поэтому сеть будет недоступна. IPsec-соединение там устанавливается автоматически. Например - На стороне микротика: /interface ipip add allow-fast-path=no comment="IPIP tunnel" ipsec-secret=secret_key keepalive=10s,3 local-address=1_Local_White_IP name=Name_of_interface remote-address=2_Remote_White_IP /ip address add address=172.16.1.2/30 comment="Address for Name_of_interface interface" interface=Name_of_interface network=172.16.1.0 На стороне кинетика как-то так: (config)> interface IPIP0 (config-if)> tunnel destination 1_Remote_White_IP (config-if)> ip address 172.16.1.1 255.255.255.252 (config-if)> ipsec preshared-key secret_key (config-if)> up (config-if)> exit (config)> no isolate-private secret_key должен быть и там, и там одинаковый. После этого у вас должен создаться ipip-туннель over ipsec. Появятся два интерфейса. На стороне mikrotik - Name_of_interface (может быть произвольным), на стороне Keenetic - IPIP0. Дальше можно прописать маршруты на обоих устройствах в удаленные сети через эти интерфейсы.

Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... И наверное вам будет таки проще настроить ipip over ipsec.