Доступ в Интернет через 2 MikroTik

[BertLam]

Доброго времени суток, уважаемые форумчане!

Столкнулся с необычной задачей и ни как не могу её решить...

Дано:

1 MikroTik:
GW: 11.11.11.11
LAN: 192.168.1.0/24
VPN: 172.16.10.1/30

2 MikroTik:
GW: 22.22.22.22
LAN: 192.168.2.0/24
VPN: 172.16.10.2/30

Оба Мк(MikroTik) с "белыми" статическими адресами. Оба Мк через VPN туннель друг друга "видят", пингуют. Из сети 192.168.1.0/24 все хосты сети 192.168.2.0/24 доступны(и на оборот, из 192.168.2.0/24 доступна вся 192.168.1.0/24).

Задача:
Настроить доступ в интернет для пользователей 192.168.1.0/24 с адреса 22.22.22.22

Буду признателен за любую помощь.

[Chupaka]

Приветствую. Если просто "в лоб", без исключения - на первом роутере:

Код: Выделить всё

# чтобы не завернуть трафик тоннеля в сам тоннель
/ip route add dst-address=22.22.22.22 gateway=11.11.11.11
# всё остальное отправляем в тоннель; другой маршрут по умолчанию или удалить,
# или увеличить ему distance - тогда он будет фейловером при отваливании VPN
/ip route add dst-address=0.0.0.0/0 gateway=VPN-интерфейс

На этом должно заработать

Либо делать через Policy Routing:

Код: Выделить всё

/routing table add name=all-to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=VPN-interface routing-table=all-to-vpn
/ip firewall mangle add chain=prerouting dst-address-type=!local src-address-list=THROUGH_VPN \
  action=mark-routing new-routing-mark=all-to-vpn

И в Address List с именем THROUGH_VPN добавить IP-адреса хостов, которых надо через второй мелкотик выпускать

[BertLam]

Chupaka - благодарю за участие!

Либо делать через Policy Routing:

Код: Выделить всё

/routing table add name=all-to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=VPN-interface routing-table=all-to-vpn
/ip firewall mangle add chain=prerouting dst-address-type=!local src-address-list=THROUGH_VPN \
  action=mark-routing new-routing-mark=all-to-vpn

И в Address List с именем THROUGH_VPN добавить IP-адреса хостов, которых надо через второй мелкотик выпускать

Интуитивно, второй вариант мне кажется более приемлемым.

Вам не составит труда, чуть пояснить?

Код: Выделить всё

/ip firewall mangle add chain=prerouting dst-address-type=!local src-address-list=THROUGH_VPN \
  action=mark-routing new-routing-mark=all-to-vpn

Это на первом роутере?

И в Address List с именем THROUGH_VPN добавить IP-адреса хостов, которых надо через второй мелкотик выпускать

А если мне весь трафик через VPN пропускать нужно?


P.S. Еще раз - благодарю за участие в решении моего вопроса.

[Chupaka]

Да, всё на первом роутере. Его задача - загнать трафик в тоннель, а там уже второй должен сам разобраться (но всё зависит от настроек, конечно же).

Если весь трафик через VPN нужно - тогда можно локальную подсеть (192.168.1.0/24) добавить в Address List.

[BertLam]

Вся беда в том, что трасировка обрывается на втором роутере...
Именно его я не смог правильно настроить...

[Chupaka]

Т.е. второй роутер в трассировке есть, а 22.22.22.22 - уже нет?
Значит, нужны настройки второго роутера (/export hide-sensitive). А то мы даже тип ВПН пока не знаем...