Проброс через VPN по address list

RIP, OSFP, BGP, MPLS/VPLS
Dimonnov
Сообщения: 4
Зарегистрирован: 07 янв 2024, 20:59

Проброс через VPN по address list

Сообщение Dimonnov »

Всем привет
помогите разобраться не могу понять, что не так
дано
wan pppoe соединение
поднят туннель wireguard
создан список IP трафик на которые маркируется и пробрасывается через туннель

Проблема заключается в том, что не только маркированный трафик прет через туннель (не весь, а как-то выборочно), что вызывает проблемы


/ip route print

DAv 0.0.0.0/0 pppoe-out - main
DAc 10.2.0.0/30 wireguard-inet - main
DAC 100.101.*.*/32 pppoe-out - main
AS 128.0.0.0/1 10.2.0.1 - main
AS 146.70.*.*/52 pppoe-out - main
DAc 192.168.0.0/24 bridge 1 - main
As 0.0.0.0/0 10.2.0.1 - vpn

напишите какие настройки еще надо скинуть чтоб была понятна картина

RouterOS 7.13
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс через VPN по address list

Сообщение Chupaka »

Приветствую. Конфиг надо скинуть, чтобы понять, что у вас и как настроено: /export

А какой конкретно трафик туда идёт, но не должен - понятно?
Dimonnov
Сообщения: 4
Зарегистрирован: 07 янв 2024, 20:59

Re: Проброс через VPN по address list

Сообщение Dimonnov »

А чего не понятно то.

Код: Выделить всё

# 2024-01-08 07:24:53 by RouterOS 7.13
# software id = J1EZ-LUWA
#
# model = CRS125-24G-1S
# serial number = 632105****
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether16 ] advertise=\
    100M-baseT-half,100M-baseT-full,1G-baseT-half,1G-baseT-full
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\
    17010******@beltel.by
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard-inet
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.130-192.168.0.250
/ip dhcp-server
add address-pool=dhcp interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/routing table
add disabled=no fib name=vpn
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=ether11
add bridge=bridge1 interface=ether12
add bridge=bridge1 interface=ether13
add bridge=bridge1 interface=ether14
add bridge=bridge1 interface=ether15
add bridge=bridge1 interface=ether16
add bridge=bridge1 interface=ether17
add bridge=bridge1 interface=ether18
add bridge=bridge1 interface=ether19
add bridge=bridge1 interface=ether20
add bridge=bridge1 interface=ether21
add bridge=bridge1 interface=ether22
add bridge=bridge1 interface=ether23
add bridge=bridge1 interface=ether24
add bridge=bridge1 interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=146.70.*.* endpoint-port=\
    51820 interface=wireguard-inet persistent-keepalive=25s public-key=\
    "HKjdcdOwD434Dvj7wzN******4="
/ip address
add address=192.168.0.100/24 interface=bridge1 network=192.168.0.0
add address=10.2.0.2/30 interface=wireguard-inet network=10.2.0.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.100 gateway=192.168.0.100 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=10.2.0.1,8.8.8.8
/ip firewall address-list
add address=tmdb.org list=vpn
add address=lidarr.audio list=vpn
add address=themoviedb.org list=vpn
add address=radarr.video list=vpn
add address=api.themoviedb.org list=vpn
add address=www.themoviedb.org list=vpn
add address=Api.radarr.video list=vpn
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=forward comment=invalid connection-state=invalid \
    in-interface-list=WAN
add action=drop chain=input comment="\D1 \ED\E0\F0\F3\E6\E8 \ED\E0 mik" \
    connection-state=invalid in-interface-list=WAN
add action=accept chain=input comment=ping in-interface-list=WAN packet-size=\
    0-128 protocol=icmp
add action=accept chain=input comment=openvpn dst-port=1194 \
    in-interface-list=WAN protocol=tcp
add action=drop chain=input comment=invalid connection-state=invalid \
    in-interface-list=WAN
add action=drop chain=forward comment="drop ditnast" connection-nat-state=\
    !dstnat in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting in-interface=bridge1 \
    new-routing-mark=vpn passthrough=no src-address-list=vpn
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wireguard-inet src-address=\
    192.168.0.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=10.2.0.1 pref-src="" \
    routing-table=vpn scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=10.2.0.1 pref-src=\
    "" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=146.70.161.162/32 gateway=pppoe-out1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
/lcd interface pages
set 0 interfaces="ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ethe\
    r9,ether10,ether11"
/routing rule
add action=lookup-only-in-table disabled=no routing-mark=vpn table=vpn
/system clock
set time-zone-name=Europe/Minsk
/system identity
set name=MikroTik24G
/system note
set show-at-login=no 
Мне нужно только трафик с листа завернуть в впн
сейчас например (из быстрого)


2 сайта в одном браузере первый валит через туннель другой нормально
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс через VPN по address list

Сообщение Chupaka »

Ага, вы DNS-имена в Address List добавляете... Посмотрите, к какому IP-адресу обращается браузер (через Developer Tools, например) при открытии 2ip - и гляньте, нет ли его в адрес-листе. Может, адреса чудом пересекаются с каким-то сайтом в списке %)
Dimonnov
Сообщения: 4
Зарегистрирован: 07 янв 2024, 20:59

Re: Проброс через VPN по address list

Сообщение Dimonnov »

и не близко
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Dimonnov
Сообщения: 4
Зарегистрирован: 07 янв 2024, 20:59

Re: Проброс через VPN по address list

Сообщение Dimonnov »

то-же самое с поисковыми запросами
то через туннель, то нет
ютуб то-же самое
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Проброс через VPN по address list

Сообщение Chupaka »

А, что у вас там за маршрут такой хитрый к 128.0.0.0/1 в main через VPN? Это примерно половина Интернета и есть %)