Доброго времени суток! Предыстория. Локальный веб сервер (192.168.хх.хх) размещен за микротиком (роутер 1) и иногда необходимо посещать ресурс снаружи, роутер не имеет статического IP адреса. По этой причине поднят l2tp+IPSec к микротику (роутер 2) со статическим IP адресом. Правила,маршруты прописаны,всё работает. На веб сервере старательно трудится fail2ban. Так как в процессе проброса порта происходит подмена IP адреса, трудящийся fail2ban блокирует адрес vpn интерфейса и больше никто на ресурс не попадает. DMZ это следующий уровень развития одноклеточного (меня). Возможно ли как то сохранить адрес клиента входящего на ресурс веб сервера через l2tp+IPsec?
NAT для l2tp я отключил с 2х сторон. Но меня смущает правило на роутере 2 (у которого статический адрес) add action=masquerade chain=srcnat dst-address=192.168.0.7 out-interface=l2tp-out1. Насколько я понимаю оно помогает пакету вернуться. 192.168.0.7 локальный адрес веб сервера.Подскажите, пожалуйста, какие правила еще экспортировать для полноты картины?
https://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#Site-to-Site_PPTP Документацию смотрели? PPTP можете смело заменить на L2TP