врятли тут форвардинг. тут тик сам себя пингует, тут Output чейн перетекает в input

пакеты с юзеров Ф доходят до керио, в логе керио я вижу:
ALLOW "PING_OUT_ALLOW" packet from IPsec VPN client, proto:ICMP, len:60, 192.168.30.99 (юзер Ф) -> 8.8.8.8, type:8 code:0 id:1 seq:255 ttl:127
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet to Optic, proto:ICMP, len:60, 82.209.х.х (внешний ИП ГО) -> 8.8.8.8, type:8 code:0 id:1 seq:255 ttl:126
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet from Optic, proto:ICMP, len:60, 8.8.8.8 -> 82.209.х.х (внешний ИП ГО), type:0 code:0 id:1 seq:255 ttl:55
[15/Nov/2019 16:07:12] ALLOW "PING_OUT_ALLOW" packet to SLAV6, proto:ICMP, len:60, 8.8.8.8 -> 192.168.30.99, type:0 code:0 id:1 seq:255 ttl:54

Люди, помогите!! Есть филиал (Ф)(поднят л2тп + IPSec) и главный офис (ГО - Керио Контрол). Между сетями Ф и ГО все прекрасно маршрутизируется. Как сделать, чтобы юзеры Ф ходили в инет через ГО? В Ф на выходе микротик, а в ГО на выходе Керио Контрол, при попытке с микротика пингануть 8.8.8.8, с лан интерфейса пинг не идет,  а с Л2ТП - все ок, соответсвенно у юзеров Ф инет не работает

Запросто. Полиси бейсед роутинг.

нукаси, натолктните на путь))

Запросто. Полиси бейсед роутинг.

Запросто. Полиси бейсед роутинг.

У Вас тоже с этим проблема? )

У Вас тоже с этим проблема? )

Сам себя в RAW перероутинг не попадет. Либо Вы что-то путаете.

да вообще странно это все, очень, но если я зарежу пинги на output, то на prerouting тишина

да тоже думал об этом

Это политика айписек. Она тут ни при чем. Схемку сети дайте. С адрессацией.

Пойдёт такая?

Пойдет. На ХАПе ВАН белый?