Ale abych i poradil. Tvůj problém se jmenuje Policy based routing. Příklad je třeba zde: https://swkls.org/mikrotik-policy-based-routing/
Čili na pravém routeru nastavíš, aby vše src 10.100.100.0 mělo gateway konec toho tunelu.
SRC-NAT jsou pak jen dva - přes WAN z obou routerů jako vždy.
V tom příkladu jsou vlastně dva příklady, předpokládám, že na mě se vztahuje ten druhý příklad. Tam je jen označení packetů a nastavení defaultní routy. To již mám:/ip route export
add comment="VPN route" distance=1 gateway=192.168.155.1 dst-address=0.0.0.0/0 routing-mark=vpn_isp
add comment="Default route" distance=1 gateway=192.168.143.161 dst-address=0.0.0.0/0
/ip route rulea
dd src-address=10.100.200.0/24 table=vpn_isp
add routing-mark=vpn_isp table=vpn_isp
akorát že packety označuji v pravidlech routování, nikoli ve FW. Jenže tam mám navíc ještě i maškarádu, takže jí jen odstraním a mám to?
To mi teda vysvětli jak tři rozsahy přispívají k bezpečnosti (a už vůbec nerozumím, jak to zpřehledňují).
Jak rozlišit síť pro 5 PC, 20x IoT ; několik zařízení pro návštěvy, které by neměli mít přístup do vnitřní sítě až na nějaké vyjímky a poté pro cizí lidi, kteří jen potřebují na chvíli internet, takový malý hotspot. Teď to mám rozlišené na 3 sítě a tu 10.200.0.0 mám rozlišenou na zařízení IoT, servery, pc připojené kabelem, bezdrátem, pracovní zařízení, dočasní hosté.. Ano, vím že je to přehnané, lze to udělat velmi jednoduše za použití 1 routeru TP-LINK, switche a několika AP na síti 192.168.1.0/24 ale to zvládne každý a nikdy bych se nanaučil to, co teď dělám. Ale když mi poradíš jinou topologii, určitě ji nebudu ignorovat.
Deset megabit download klienta z 10.100.100.0 udělá: 10 down ISP1, 10 up ISP1, 10 down ISP2. Aneb jak si efektivně ztrojnásobit datové toky ... jako kdybys toho ISP2 vlastně vůbec neměl. Vyhozené peníze.
Kdyby to šlo řešit bez ISP2, tak mi to vůbec nevadí, ale dělat vlastní spoj na 50Km mi přijde cenově náročnější. A dvojnásobné datové toky u ISP1 mi opravdu netrápí201833114106.png
