所以我一直有一个网络路由或防火墙的问题，我希望有人在这里有一个好主意如何解决这个问题。

场景:
我们的主网络(net1)位于Sonicwall NSA后面，我们有许多vpn进入我们的网络。
我正试图让我的microtik创建一个VP雷竞技网站N到我们的设施，以允许双向通信到我的网络(net2)。
经过一些修补，VPN启动并运行。(是啊! !)

问题就在这里……
Net2可以看到net1中所有已定义的子网，并且可以访问net1中的所有计算机。(成功! !)
net1只能ping通microtik, ne雷竞技网站t2不能ping通。

Net1包括:
10.200.0.0/21
10.100.1.0/24

Net2包括:
10.200.254.0/24

在这一点上，我尝试了几种解决方案，但似乎没有工作。

在/ ip /防火墙/ nat……
0 chain=srcnat action=accept src-address=10.200.0.0/21 dst-address=10.200.254.0/24 log=no log-prefix=""
1 chain=srcnat action=accept src-address=10.100.1.0/24 dst-address=10.200.254.0/24 log=no log-prefix=""

在/ ip /防火墙/生…
0 chain=prerouting action=notrack log=no log-prefix="" src-address=10.200.0.0/21 dst-address=10.200.254.0/24
1 chain=prerouting action=notrack log=no log-prefix="" src-address=10.200.254.0/24 dst-address=10.200.0.0/21

在/ ip /防火墙/过滤器…
1 chain=forward action=accept src-address=10.200.0.0/21 dst-address=10.200.254.0/24 log=no log-prefix=""
2链=forward action=accept src-address=10.200.254.0/24 dst-address=10.200.0.0/21 log=no log-prefix=""

在/ ip /路线……
DAd 0.0.0.0/0 10.20.30.1
DAc 10.20.30.0/24 ether10
DAc 10.200.254.0/24桥接0

所以我想我应该联系一下，看看这里有没有人有什么想法……
当你觉得这将是一个简单的解决方案时，你会感到沮丧。

谢谢。

因为你有action = notrack在香港实施的规则生，没有必要有action =接受规则nat。所以这无关紧要src-address和dst-address在这些规则中nat交换。

然而，两者的规则生和过滤器只覆盖net1中的10.200.0.0/21，每个表(或net1的地址列表)中的另外两条规则也需要覆盖10.100.1.0/24。

接下来是通常的建议:

• 默认情况下，Windows防火墙会阻止来自其他子网的ping请求，而不是连接到该请求进入的接口的子网
• 防火墙规则的顺序很重要，因此在命令的输出中看不到规则0/ ip /防火墙/过滤器/打印很难说它是否会阻止来自net1的数据包到达规则1和规则2
• /工具/嗅探器/快这对这种分析很有帮助，因为它显示了请求包和可能的响应包到达的距离;请记住，虽然它显示了从传入IPsec传输数据包解密的有效载荷数据包，但它没有显示将被加密为IPsec传输数据包的有效载荷数据包。