[cameron]

не очень поняла схему, а особо понятия "клиент и сервер" при Site-to-Site VPN.
в общем я бы сделала так:
Mikrotik <--L2TP Site-to-Site> RRAS, а сверху керио на это. RRAS без NAT'а не помешает работать Керио (предполагаю), а у керио будет просто ещё один интерфейс, на которй нужно нарисовать политики доступа.

Если такой вариант не работает - то зайти с другой стороны, а именно найти документацию от керио, как там делается Site-to-site VPN и поднять его с микротиком.

ну и самый правильный способ - избавиться от связки 2k8r2+kerio и заменить это либо керио аппаленсом (чистый IPsec), либо TMG, либо любым аппаратным роутером (поднимать IPsec умеют все не СОХО железки, и почти все СОХО при кастомной прошивке), либо pfSense\Monowall\ClearOS\etc.

[kiralex]

Спасибо за направление, да нужно именно L2TP Site-to-site(STS,S2S) подключение.

В идеале хотелось бы создать множество перекресных подключений и по OSFP выстраивать маршрутизацию, этакая отказоустойчивая P2P VPN сеть, но это ковыряние уже позже когда заработают хотябы простые линки.

Заменить все на железные микротики в планах но не везде это целесообразно и хотелосьбы иметь универсальное решение.

Роль Службы маршрутизации и удаленного доступа не настроена поскольку конфликтует с Kerio.
Маршрутизатор 2 не находится в домене.

Насколько я понимаю некоторые политики 2-го маршрутизатора запрещают пересылать пакеты далее из L2TP подключения в локальную сеть, в какую сторону копать?

[cameron]

Цитата kiralex:

Заменить все на железные микротики в планах но не везде это целесообразно и хотелосьбы иметь универсальное решение. »

универсальное решение - это аппаратные маршрутизаторы, по крайней мере IPSec вы поднимите всегда.
OSPF на виндовс - это АД и Израиль, а у про керио лучше и не думать.
Плюс, некоторые вендоры имеют свои решения-аналоги цискогово DMVPN (это как раз то, что вы хотите, но без OSPF).

Цитата kiralex:

Роль Службы маршрутизации и удаленного доступа не настроена поскольку конфликтует с Kerio. »

даже если в RRAS не использовать мастер, а только вручную сделать роутинг?

Цитата kiralex:

Насколько я понимаю некоторые политики 2-го маршрутизатора запрещают пересылать пакеты далее из L2TP подключения в локальную сеть, в какую сторону копать? »

в ваейршарк, если очень хочется заморачиваться именно так.
но начать нужно с организации Site-to-Site, а не client-to-site.

[kiralex]

Цитата cameron:

даже если в RRAS не использовать мастер, а только вручную сделать роутинг? »

Да конечно я прописывал маршруты как через route add так и через kerio, пакеты не уходят дальше 192.168.250.5.

Нашел обновление, не уверен что оно в моем случае поможет но попробую поставить.
http://support.microsoft.com/kb/980674/ru

Каким образом я могу настроить подключение STS без маршрутизации и удаленного доступа и под Kerio?

Также я еще не пробовал настраивать PPTP, он мне видится менее производительным и защищенным.

[cameron]

Цитата kiralex:

Каким образом я могу настроить подключение STS без маршрутизации и удаленного доступа и под Kerio? »

я не знаю точно умеет ли ваша версия IPsec, по-моему нет, IPsec стал доступен с версии 8.0

Цитата kiralex:

Да конечно я прописывал маршруты как через route add так и через kerio, пакеты не уходят дальше 192.168.250.5. »

причём тут маршруты? если вы верно настроили RRAS то ничего никуда прописывать не нужно!
согласно гугла RRAS (без NAT) + KWF дружат.

Цитата kiralex:

Также я еще не пробовал настраивать PPTP, он мне видится менее производительным и защищенным. »

относительно производительности вам видится плохо.
относительно защищённости - вопрос для большого обсуждения, но, в целом, если конкретно вашу компанию специально никто не атакует - это тоже "плохо видится".
но безотносительно ваших "видений" разницы между PPTP и L2TP в данном случае нет.

[kiralex]

Спасибо, поднял l2tp через RRAS , думал что kerio и rras не дружат между сабой. И всеже данная реализация видится мне неско кособокой, планирую заменять это дело на железный микротик.

С чего лучше начинать изучать динамическую маршрутизацию с RIP? Прочитал несколько статей но всеже остается боязнь что все пойдет не так как задумывалось и сетка упадет.

[Tonny_Bennet]

Цитата kiralex:

С чего лучше начинать изучать динамическую маршрутизацию с RIP?»

Вот тут я обсуждал поднятие туннелей и OSPF. В MT OSPF настраивается в несколько кликов. Много мануалов в сети.

Цитата kiralex:

Прочитал несколько статей но всеже остается боязнь что все пойдет не так как задумывалось и сетка упадет. »

По идее всё просто. Есть туннель. Нет маршрутов. Железки на обеих сторонах о чём-то договариваются, через этот туннель, и строят маршруты. Трафик пошёл. В принципе если не заработает - просто не будет маршрутов. Ну или вы можете накосячить с объявлением областей и сетей и маршруты построятся кривовато, но это всё видно в логах и в таблице маршрутизации.