)

Wisp ap, бридж, со статикой впа2

Остальное по дефолту

это не конфиг

я указал интерфейс, который идет в локалку. что-то не так сделал?

Как дать конфиг?

Раз "не попадает в правило", значит что-то не так.

логично)

поменял connection-state. к нью добавил established. правило работает. проблема не пропала

Это так не работает.

а теперь иди и почитай основы TCP

Всем привет! Подскажите, как ПРАВИЛЬНО пробросить устройства А на порту роутера 2 и Б на порту роутера 3 в LAN 2 за роутером 1, если у всех белые айпи и роутер 2 и 3 строят IPIP тоннели к роутеру 1, интерфейсы которых имеют айпишники, через которые строятся маршруты в сети за этими роутерами?

Сейчас подняты EoIP тоннели от роутеров 2 и 3 к роутеру 1 поверх IPIP тоннелей и интерфейсы EoIP объединены с локальными интерфейсам роутеров в бриджи, т.о. устройства за отдельными портами роутеров 2 и 3 видны в LAN 2 за роутером 1.

Из LAN 1 за роутером 1 к устройствам А и Б машрут выглядит нормально: GW LAN 1 > IP А или Б. Так же нормально выглядит маршрут из LAN за роутерами 2 и 3 к устройствам А и Б: шлюз > EoIP тоннель > ip конечного устройства.

Однако при трассировке из LAN 2 к устройству А маршрут выглядит так:
- Превышен интервал ожидания для запроса
- адрес IPIP тоннеля между роутером 1 и 2
- ip А
из LAN 2 к Б:
- GW сети 2
- так же адрес IPIP тоннеля между роутером 1 и 2
- ip Б

Где я накосячил? может схема

схема

не правильная? При пинге несуществующего узла в LAN2 выдется превышен TTL и при трассировке бесконечно:  шлюз LAN2 - EoIP - шлюз LAN2 - EoIP  ...

Ясно, мне в группу для ретардов надо, здесь мне не место.

Если у Вас превышено ожидание на первом же хопе, то см фаерволл на предмет блокировки icmp
А 2 к Б - судя по трассе маршрут не туда торчит или с бриджами что-то нахимичено.

да даже не схема, а сама логика построения

у меня есть правило вверху разрешающее все пинги, при этом пинга к существующим айпишникам нормально проходят.

Правило в какой цепочке?