В теме предлагается обсуждение проблем, связанных с организацией сетей, интернета, помощь с настройкой оборудования
и прочие проблемы сетевой шелухи. Думаю, на форуме найдется несколько опытных админов по этой области.

Сетевые технологии проникли в наши дома уже давно, однако в наши самопалы они начали проникать относительно недавно.
Все больше сетевого железа становится доступным для применения в самоделках. Это различные ESP8266, STM32, Arduino и
прочие радости. Домашняя сеть у многих радиокотэ (и моя в том числе) начинает разрастаться и ею становится все сложнее управлять.
И рано или поздно, в этой сети нужно наводить порядок и обеспечить нормальную безопасность. Вот и я столкнулся с тем,
что дом и творческая мастерская у меня разрослись различными датчиками и исполнительными устройствами. Примерно 25% из этого
добра обменивается данными через локальную сеть, остальная часть работает посредством всяких CANов, 485х и прочих витых пар,
однако данные из этой паутины так же вываливаются в локальную сеть. Мало того, за всем этим добром нужно поглядывать почаще
и ограничить посторонних от доступа в эту сеть. Чтобы все это обеспечить, был куплен новый роутер (старый отработал почти 8 лет).
И не простой роутер, а посерьезнее. Выбор пал на Mikrotik RB952Ui.

Собственно, сеть:
Физическая реализация
Роутер дома:
К порту ether1 подключен кабель от провайдера. Собственно, этот порт является WAN портом.
Порт ether2 является свободным.
К порту ether3 подключена медиаприставка.
К порту ether4 подключен Power Line модем для передачи данных в мастерскую. (Витуху бросить туда нет возможности)
На порту ether5 сидит домашний сервер.

Мастерская:
Стоит там мой старый роутер TL-WR741ND с поднятым на нем OpenWRT.
На порту LAN1 сидит PLC модем.
На порту WAN сидит самопальный шлюз для обмена данными между шинами CAN/RS-485/Audio и локальной сетью (Ethernet)
Остальные порты подведены к основному рабочему месту и оканчиваются Ethernet розетками.

Логическая организация
Дома:
На роутере порты 2, 3 и 5 объединены в свитч. 1 и 4 оторваны от него. Порт 2 объявлен мастер-портом.
Порт 4 является trunk портом и на нем организовано два VLAN.
В самом роутере так же создано два бриджа и две WiFi точки.
Один бридж для локальной сети, второй для гостевой сети. Интерфейсы ether2-master, vlan3 и WiFi1 объединены в bridge,
Wifi2 и vlan4 объединены в bridge-guest.
Подняты две сети:
192.168.1.0/24 - Локальная сеть.
192.168.200.0/24 - Гостевая сеть.
Получается, что все оборудование сидит в локальной сети.
Между этими двумя сетями маршруты заблокированы за исключением маршрутов из гостевой сети до сервера в локальной сети и файерволом
заблокированы все порты сервера, кроме портов SAMBA (и все это на роутере!)

Мастерская:
Тут все просто. В OpenWRT отключено все, что связано с маршрутизацией и файерволлингом. DHCP сервер тоже в топку.
Роутер превращен в управляемый коммутатор с WiFi на борту. LAN1 затегирован друмя VLAN (превращен в trunk) и на роутере
создано два бриджа так же для гостевой и локальной сетей. И две WiFi точки для этих же целей. IP адреса выдает Mikrotik

Все это прекрасно работает и нареканий никаких нет.
Однако, мне понадобился еще и VPN для подключения к своей домашней сети с рабочего места или смартфона.
IP у меня белый. Вроде как статический (провайдер не гарантирует абсолютную статичность моего IP и может его сменить, если моча в голову ударит, однако гарантирует его белизну).
По этому на всякий случай был написан скрипт для Duck DNS, чтобы иметь свое доменное имя.
Из протоколов был выбран IPSec/L2TP, ибо с PPTP и его протоколом GRE имеются проблемы. Он обрезается некоторыми хопами провайдера.
Да и L2TP/IPSec доступны практически на любом тапке в качестве альтернативы PPTP.

Для пользователя был создан отдельный интерфейс, пользователю назначается постоянный IP адрес из домашней подсети.
Для этого я выделил отдельный диапазон адресов, чтобы небыло пересечений с узлами домашней сети.

В /ppp profiles был создан профиль l2tp_profile со следующим конфигом:
Local Address: 192.168.1.1
Remote Address: vpn_local_pool (192.168.1.201-209)
Bridge: bridge (мост локальной сети с подсетью 192.168.1.0/24)
TCP MSS: yes
UPnP: yes
Use MPLS: default
Compression: default
Encryption: no (нет смысла грузить роутер лишним шифрованием, ибо уже есть IPSec с шифрованием)

В /ppp secrets создан пользователь:
Name: user (для примера)
Password: password (для примера)
Service: l2tp
Profile: l2tp_profile
Local Address: 192.168.1.1
Remote Address: 192.168.1.201

В /ppp interface был создан персональный интерфейс для пользователя:
Name: l2tp-user
User: user

Конфиг ipsec приводить не буду, ибо думаю, что проблем там быть не должно.

VPN поднят, свободно подключаюсь, узлы домашней сети доступны, однако имеются следующие проблемы:
Подключенный через VPN клиент не доступен из локальной сети. Он даже не пингуется самим роутером.
Хотя при этом он видит всю локальную сеть.
И не доходят broadcast пакеты из локальной сети до клиента (естественно, если даже обычные запросы на соединение не проходят)
Три дня уже мучаюсь и не могу решить эту проблему. Может какие маршруты прописать?
И как можно вести отладку трафика на Mikrotik? Ну, типа, найти, где теряются пакеты из локальной сети до клиента.

Q-К порту ether1 подключен кабель от провайдера. Собственно, этот порт является WAN портом.-Q

это че- не ДСЛ? без модема? сразу ЛАН раздается?

Нечто аналогичное DSL. По коаксиальному кабелю. То есть - EoC со стандартом DOCSIS 3.
И с помощью конвертера преобразуется в Ethernet. Только в отличии от DSL тут скорости выше.

PCBWay - всего $5 за 10 печатных плат, первый заказ для новых клиентов БЕСПЛАТЕН

Сборка печатных плат от $30 + БЕСПЛАТНАЯ доставка по всему миру + трафарет

Онлайн просмотровщик Gerber-файлов от PCBWay + Услуги 3D печати

ну дык кабельный модем, DOCSIS вероятно

Организация питания на основе надежных литиевых аккумуляторов EVE и микросхем азиатского производства

Качественное и безопасное устройство, работающее от аккумулятора, должно учитывать его физические и химические свойства, профили заряда и разряда, их изменение во времени и под влиянием различных условий, таких как температура и ток нагрузки. Мы расскажем о литий-ионных аккумуляторных батареях EVE и нескольких решениях от различных китайских компаний, рекомендуемых для разработок приложений с использованием этих АКБ. Представленные в статье китайские аналоги помогут заменить продукцию западных брендов с оптимизацией цены без потери качества.

Подробнее>>

Он самый.

Новый аккумулятор EVE серии PLM для GSM-трекеров, работающих в жёстких условиях (до -40°С)

Компания EVE выпустила новый аккумулятор серии PLM, сочетающий в себе высокую безопасность, длительный срок службы, широкий температурный диапазон и высокую токоотдачу даже при отрицательной температуре. Эти аккумуляторы поддерживают заряд при температуре от -40/-20°С (сниженным значением тока), безопасны (не воспламеняются и не взрываются) при механическом повреждении (протыкание и сдавливание), устойчивы к вибрации. Они могут применяться как для автотранспорта (трекеры, маячки, сигнализация), так и для промышленных устройств мониторинга, IoT-устройств.

Подробнее>>

Проблема с видимостью устройств в сети VPN решилась.
Нужно было в /ppp secrets указать пользователям подсеть (парам. route=192.168.1.0/24),
к которой будет проложен пакетный маршрут. Этот момент не освещен ни в каких
статьях. Пришлось долго рыться в официальной документации.
Остался только броадкаст, но этим я займусь позже.