Local no , всё работает ,но wланы в xs

)))

так и сделал в итоге. не завелся hairpin

а "изолировал" как?
сделай исключение для него в файрволе, да в днсе напиши -
10.0.2.24 твой.сайт

и не нужен будет hairpin

и не забудь выше запрета разрешение сделать dst для ипа 10.0.2.24

иногда приходилось слышать недоуменный вопрос - а что в файрволе правила срабатывают по порядку?

да блин, так и есть

Народ, мучаюсь с подключением между mikrotik и cisco asa. Нужно сделать полноценный site-to-site, НО за cisco asa находится две подсети, которые мне нужно увидеть. К сожалению условия диктуют извне. На скриншоте 10.1.27.0/24 моя локалка и 192.168.*.* - локалки за cisco asa.
Форумы гласят, что при использовании level=unique должно работать, но по факту заставить работать выходит только одну из них. В дальнейшем, насколько мне известно, нужно еще и маршрутизацию будет строить. Кто выручит советом как побороть? Повторюсь, условия на такой тип подключения диктуют извне и изменить это нельзя.

кстати с таким типом подключения, я по идее должен увидеть их сети как directly connected, но по факту этого нет

Нет, не должны.

и все же, как выполнить такой таск?

Я пытался и именно с ASA у меня не вышло. Все поднимается, но вижу только саму ASA. Плюнул и поднял с обычным сиско-роутером. Думаю однажды еще попробовать, если будет скучно.

Думаю ,что с Вашей стороны все сделано. Дальше нужно смотреть логи. Микротик с АСА нормально дружат в сайт-ту сайт схеме в туннельном режиме.

даже когда несколько сетей?

ибо с их стороны был следующий закидон, цитирую

There is a split tunnelling option that needs to be checked in order to see both SA up in the same time – please make sure this is enabled, otherwise you will not be able to see/use both networks in the same time.

примеры в инете как сделать сплит тунель для доступа к нескольким подсетям так и не нашел... пробовал сам шаманить что-то с config mode, но было похоже на хождение во тьме...
а время блин поджимает, в пятницу уже нужно сдать

Не за что.