История изменений

Исправление Atlant, 06.04.20 18:33 (текущая версия) :

так особых проблем в конфиге я не нашел, кроме такого ощущения что происходит двойной SNAT.
Комментарии - мои.

/ip firewall filter
### Входная цепочка (INPUT)
# Всё равно отключенные правила, поэтому закоменнтировал
# add action=accept chain=input comment=\
#     "defconf: accept established,related,untracked" connection-state=\
#     established,related,untracked disabled=yes
# add action=drop chain=input comment="defconf: drop invalid" connection-state=\
#     invalid disabled=yes
# add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
#     protocol=icmp
# add action=accept chain=input comment=\
#     "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
#     dst-address=127.0.0.1
# add action=drop chain=input comment="defconf: drop all not coming from LAN" \
#     disabled=yes in-interface-list=!LAN
# add action=accept chain=forward comment="defconf: accept in ipsec policy" \
#     disabled=yes ipsec-policy=in,ipsec
# add action=accept chain=forward comment="defconf: accept out ipsec policy" \
#     disabled=yes ipsec-policy=out,ipsec
# add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
#     connection-state=established,related disabled=yes
# add action=accept chain=forward comment=\
#     "defconf: accept established,related, untracked" connection-state=\
#     established,related,untracked disabled=yes
# add action=drop chain=forward comment="defconf: drop invalid" \
#     connection-state=invalid disabled=yes

# Разрешить всем от микротика черз интерфейс GSM
add action=accept chain=output out-interface=lte1
# Разрешить входящие пинги
add action=accept chain=input protocol=icmp
# Разрешить входящие со стороны LAN
add action=accept chain=input in-interface-list=LAN
# Разрешить входящие на порт 1723, НЕПОНЯТНО ЧТО ЗА ПОРТ GRE with PPTP???
add action=accept chain=input dst-port=1723 protocol=tcp

### NAT
/ip firewall nat
# НЕНУЖНО???. Маскарадинг(SNAT) для выходящих в инет(IPSEC) 
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
# НЕПОНЯТНО, ДВАЖДЫ МАСКАРАДИНГ??. Маскарадин(SNAT) подсетки 192.168.2.0/24 на выходной интерфейс моста(бриджа)
add action=masquerade chain=srcnat out-interface=bridge src-address=192.168.2.0/24
# Проброс порта 4455 от VPN до сервера
add action=netmap chain=dstnat dst-port=4455 in-interface=ovpn1 protocol=tcp to-addresses=192.168.1.5 to-ports=4455
# Проброс порта 8090 от VPN до сервера	
add action=netmap chain=dstnat dst-port=8090 in-interface=ovpn1 protocol=tcp to-addresses=192.168.1.5 to-ports=8090
/ip route
add distance=1 dst-address=10.0.0.0/24 gateway=192.169.1.254

Исправление Atlant, 06.04.20 18:32:

так особых проблем в конфиге я не нашел, кроме такого ощущения что происходит двойной SNAT.
Комментарии - мои.

/ip firewall filter
### Входная цепочка (INPUT)
# Всё равно отключенные правила, поэтому закоменнтировал
# add action=accept chain=input comment=\
#     "defconf: accept established,related,untracked" connection-state=\
#     established,related,untracked disabled=yes
# add action=drop chain=input comment="defconf: drop invalid" connection-state=\
#     invalid disabled=yes
# add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
#     protocol=icmp
# add action=accept chain=input comment=\
#     "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
#     dst-address=127.0.0.1
# add action=drop chain=input comment="defconf: drop all not coming from LAN" \
#     disabled=yes in-interface-list=!LAN
# add action=accept chain=forward comment="defconf: accept in ipsec policy" \
#     disabled=yes ipsec-policy=in,ipsec
# add action=accept chain=forward comment="defconf: accept out ipsec policy" \
#     disabled=yes ipsec-policy=out,ipsec
# add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
#     connection-state=established,related disabled=yes
# add action=accept chain=forward comment=\
#     "defconf: accept established,related, untracked" connection-state=\
#     established,related,untracked disabled=yes
# add action=drop chain=forward comment="defconf: drop invalid" \
#     connection-state=invalid disabled=yes

# Разрешить всем от микротика черз интерфейс GSM
add action=accept chain=output out-interface=lte1
# Разрешить входящие пинги
add action=accept chain=input protocol=icmp
# Разрешить входящие со стороны LAN
add action=accept chain=input in-interface-list=LAN
# Разрешить входящие на порт 1723, НЕПОНЯТНО ЧТО ЗА ПОРТ GRE with PPTP???
add action=accept chain=input dst-port=1723 protocol=tcp

### NAT
/ip firewall nat
# НЕНУЖНО???. Маскарадинг(SNAT) для выходящих в инет(IPSEC) 
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
# НЕПОНЯТНО, ДВАЖДЫ МАСКАРАДИНГ??. Маскарадин(SNAT) подсетки 192.168.2.0/24 на выходной интерфейс моста(бриджа)
add action=masquerade chain=srcnat out-interface=bridge src-address=192.168.2.0/24
# Проброс порта 4455 от VPN до сервера
add action=netmap chain=dstnat dst-port=4455 in-interface=ovpn1 protocol=tcp to-addresses=192.168.1.5 to-ports=4455
# Проброс порта 8090 от VPN до сервера	
add action=netmap chain=dstnat dst-port=8090 in-interface=ovpn1 protocol=tcp to-addresses=192.168.1.5 to-ports=8090
/ip route
add distance=1 dst-address=10.0.0.0/24 gateway=192.169.1.254

Исходная версия Atlant, 06.04.20 18:31:

так особых проблем в конфиге я не нашел, кроме такого ощущения что происходит двойной SNAT.

/ip firewall filter
### Входная цепочка (INPUT)
# Всё равно отключенные правила, поэтому закоменнтировал
# add action=accept chain=input comment=\
#     "defconf: accept established,related,untracked" connection-state=\
#     established,related,untracked disabled=yes
# add action=drop chain=input comment="defconf: drop invalid" connection-state=\
#     invalid disabled=yes
# add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
#     protocol=icmp
# add action=accept chain=input comment=\
#     "defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
#     dst-address=127.0.0.1
# add action=drop chain=input comment="defconf: drop all not coming from LAN" \
#     disabled=yes in-interface-list=!LAN
# add action=accept chain=forward comment="defconf: accept in ipsec policy" \
#     disabled=yes ipsec-policy=in,ipsec
# add action=accept chain=forward comment="defconf: accept out ipsec policy" \
#     disabled=yes ipsec-policy=out,ipsec
# add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
#     connection-state=established,related disabled=yes
# add action=accept chain=forward comment=\
#     "defconf: accept established,related, untracked" connection-state=\
#     established,related,untracked disabled=yes
# add action=drop chain=forward comment="defconf: drop invalid" \
#     connection-state=invalid disabled=yes

# Разрешить всем от микротика черз интерфейс GSM
add action=accept chain=output out-interface=lte1
# Разрешить входящие пинги
add action=accept chain=input protocol=icmp
# Разрешить входящие со стороны LAN
add action=accept chain=input in-interface-list=LAN
# Разрешить входящие на порт 1723, НЕПОНЯТНО ЧТО ЗА ПОРТ GRE with PPTP???
add action=accept chain=input dst-port=1723 protocol=tcp

### NAT
/ip firewall nat
# НЕНУЖНО???. Маскарадинг(SNAT) для выходящих в инет(IPSEC) 
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
# НЕПОНЯТНО, ДВАЖДЫ МАСКАРАДИНГ??. Маскарадин(SNAT) подсетки 192.168.2.0/24 на выходной интерфейс моста(бриджа)
add action=masquerade chain=srcnat out-interface=bridge src-address=192.168.2.0/24
# Проброс порта 4455 от VPN до сервера
add action=netmap chain=dstnat dst-port=4455 in-interface=ovpn1 protocol=tcp to-addresses=192.168.1.5 to-ports=4455
# Проброс порта 8090 от VPN до сервера	
add action=netmap chain=dstnat dst-port=8090 in-interface=ovpn1 protocol=tcp to-addresses=192.168.1.5 to-ports=8090
/ip route
add distance=1 dst-address=10.0.0.0/24 gateway=192.169.1.254