MikroTik.by

Добрый день.
Микротик с ОС 6.40.4.
Настроен L2TP клиент с IPsec. Маршрут прописан и с микротика удаленная подсеть пингуется. Есть IP телефон, настроенный на подключение к удаленной сети. Хочу подключить его в отдельный порт микротика . На этом порту только трафик с VPN , если интерфейс включен. Остальные порты - мимо VPN. Как можно реализовать ?

Добрый.

Маршрут прописать в отдельной таблице маршрутизации ("routing-mark"), затем в IP Firewall Mangle Prerouting маркировать роутинг для пакетов с нужного порта - и ура, всё заработало как надо.

Знания не столь глубоки. Можно попросить пример реализации?

Спасибо. Я сделал вчера аналогично :
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=Office new-routing-mark=\office passthrough=no
/ip route add distance=3 dst-address=172.24.32.0/24 gateway="L2TP office" routing-mark=\office
не работает

Взял не боевой роутер. Обновил до последней версии ОС (6.42.4) , сбросил на заводские, исключил нужный порт из бриджа, настроил vpn, прописал правила. vpn поднялся, без маркирования пингуется нужный адрес с микротика. Прописал маркировку. В интерфейсах видно, что телефон шлет запросы в порт, на l2tp интерфейсе - тишина. Подключился к порту ноутом с сетевыми настройками удаленной сети , пинги не идут.

DimaVL писал(а): ↑20 июн 2018, 11:40 не работает

Поразительно детальное описание ситуации

DimaVL писал(а): ↑20 июн 2018, 11:40 исключил нужный порт из бриджа

Если порт в бридже - то in-interface=бридж, и дальше in-bridge-port=Office

DimaVL писал(а): ↑20 июн 2018, 11:40 В интерфейсах видно, что телефон шлет запросы в порт, на l2tp интерфейсе - тишина. Подключился к порту ноутом с сетевыми настройками удаленной сети , пинги не идут.

Удалённая сеть знает о том, где находится адрес телефона, или надо добавить правило NAT Masquerade с out-interface=l2tp?

Да, детальное описание , сам так клиентам говорю ( в другой области), но расписал что и как на примере второго микротика,заодно исключил влияние остальных правил и версии ОС. Чистая железяка со всеми обновлениями.
Мне не критично нахождение порта в бридже, ОС его по умолчанию туда помещает. Если не влияет ни на что, пусть вне бриджа будет.

По удаленной сети.Не знаю что на той стороне. Есть следующие варинты подключения к ней: На компе поднимаю VPN с аналогичными настройками, запускаю аваевский софтверный телефон, прописываю адрес сервера - работаем.Сервер пингуется. Отключаю VPN, поднимаю на микротике без маркировки , маскарадинг прописан на l2tp интерфейс, с компа сервер пингуется , софтверный телефон ругается на трансляцию адресов и не работает, аппаратный , тоже аваевский, безрезультатно ищет сервер . Включаю маркировку .Подключаемся к нужному порту. С компа пингов нет, сервер не видим, аппаратный телефон ищет сервер.

Чтобы не всё подряд шло в впн, а только нужное - у l2tp-клиента надо снять галку Add Default Route.

Если порт достать из бриджа - ему нужны отдельные настройки (своя подсеть, DHCP-клиент по случаю, etc)

Спасибо за помощь. Частично получилось. По порядку:
на входе обновленный до последней версии и сброшенный на заводские настройки микротик.
настроенный канал L2TP IPSEC. Соединение есть. Галка на дефолтный маршрут стоит ( пока не до изысков с портами). Маршрут прописался. Добавлен маршрут на сервер вызовов . Это другая подсеть. Из микротика все пингуется, на портах - нет. В нате включаю маскарадинг. Пингуется удаленная сеть c портов микротика. Телефон находит сервер, регистрируется, подтягивает контакты и функционирует нормально ( звенит на входящие, отображает звонящего или направление звонка, набирает исходящий и т.д.) за одним исключением: звука в трубке нет ни в одном направлении. Сервиспорт для h.323 включен. При выключении сервиспорта, телефон не коннектится к серверу.