Мистические проблемы микротика за микротиком.

Нет натов точно не было... тогда вообще непонятно ... может быть сессия должна была получать ответ от того кому был послан запрос. а потом ответ должен был то же идти оттуда

 

комп 200,211 отправляет на шлюз 200,1 запрос о соединениее с 9,2.
Дальше 200,1 перенаправляет запрос на 200,51.
Потом 200,51 перенапрявляет на 172,20,0,2.
далее 9,2 отвечает
ответ прилетает на 200,51 и тут то начинается магия ))))) уличная магия
так как хост 200,51 и 200,211 находятся в одной сети \24 то .51 отправляет напрямую .211, а .211 не знает о таком соединении, так как он ожидает пакет от 200,1.

 

На роутерах в фаерволах было только Ваше правило в мангл ( для mss) NAT нигде не настраивался.

 

Илья привет,
также первым делом подумал про mss, но с флагом запрета фрагментации 1472 пролезали нормально (28 =icmp + tcp)
Я сейчас пруф не смогу найти, но где то мне встречалась информация, что винда сверяет arp запись шлюза с трафиком пришедшим из вне домашней сети.
получалась примерно следующая картина
192.168.0.1 - Default Gateway (kerio)
192.168.0.2 - Mikrtoik (VPN to 172.16.0.0/24)
192.168.0.3 - Windows
так вот Windows отправляя трафик в сеть 172.16.0.0 и отправлял(L2) его на mac адрес (192.168.0.1), далее kerio отправляет на 192.168.0.2 и далее уходил в vpn, в вот когда трафик возвращался,то получалось что адрес назначения лежит в одной сети с MikroTik и MikroTik его естественно не отсылал на kerio, и на Windows пакет приходил с мак адресом MikroTik.
Поведение конечно очень странное у Windows, но надо признать что и реализация тоже. =)