Um problema comum em redes com VPNs configuradas em RBs MikroTik: a VPN conecta, o túnel sobe, mas os dispositivos da LAN (bridge) não conseguem acessar os recursos do outro lado da VPN. Vamos resolver isso de forma cirúrgica.
Objetivo
Permitir que a rede local (bridge) consiga acessar os dispositivos do outro lado da VPN — seja PPTP, L2TP, SSTP, etc.
Diagnóstico Rápido
A VPN conecta corretamente
Mas os clientes da LAN não conseguem pingar nem acessar a rede remota
Solução via WebFig (sem terminal)
1. Permitir o forward da LAN para a VPN
Vá em:
IP > Firewall > Filter Rules > Add New
- Chain:
forward - In. Interface:
bridge1(ou o nome da sua bridge local) - Out. Interface:
pptp-out1(ou o nome da interface VPN) - Action:
accept - Comment:
Permitir LAN -> VPN - Clique em OK
2. Adicionar rota para a rede remota
Vá em:
IP > Routes > Add New
- Dst. Address:
192.168.99.0/24(substitua pela rede remota da VPN) - Gateway: selecione a interface da VPN (ex:
pptp-out1) - Check Gateway:
pingounone - Clique em OK
3. (Opcional) Masquerade para garantir resposta
Se o outro lado da VPN não tiver rota de volta para sua LAN, você pode mascarar o tráfego de saída pela VPN:
Vá em:
IP > Firewall > NAT > Add New
- Chain:
srcnat - Out. Interface:
pptp-out1 - Src. Address:
192.168.1.0/24(ou a rede da sua bridge) - Action:
masquerade - Comment:
Masquerade LAN -> VPN - Clique em OK
Teste final
- Pingue a rede remota a partir de um host da LAN (ex:
ping 192.168.99.1) - Faça um
traceroutepara validar o caminho - Se ainda não der certo, verifique o roteamento do outro lado da VPN
Resultado
LAN acessando a VPN com tráfego roteado corretamente, mantendo sua RB sob controle total.
Dica DevData
Evite depender de NAT se você controla os dois lados da VPN. Configure as rotas corretamente e mantenha a rede transparente.
Se precisar mascarar, use só como último recurso.