VPN + статический маршрут

[kreotodr]

Коллеги споткнулся на ровном месте
Поднял VPN туннель - все ок, все абоненты выходят наружу через VPN
Как только снимаю (в VPN клиенте) галку с "Add Default Route" и прописываю статический маршрут, через VPN ничего не выходит наружу. Статус VPN клиента - connected. Включаю галку обратно, все работает

Необходимость от отказа "Add Default Route", возникла в связи с задачей пустить часть абонентов НЕ через VPN.
Где туплю?

Первый скрин работает (Дефолт)
Второй скрин не работает (Статический маршрут)

[Chupaka]

Приветствую.

Какая версия RouterOS? Не может быть такого, что при установленной галке создаётся ещё и маршрут к PPTP-серверу (не через VPN), которого не хватает во втором случае (чтобы трафик самого VPN не пытался ещё раз в этот VPN завернуться)?

[kreotodr]

Добрый день!
Вопрос остался открытым.
Тестировал на ExpressVPN и Hidemynames - RoS 6.48 Long-term.
На RoS 7.8 Stable идентична картина

[Chupaka]

Добрый. Мой вопрос тоже остался неотвеченным Сравните уже /ip route print в первом и втором случае.

Для более простой проверки можете статический маршрут создать не 0.0.0.0/0, а, например, 8.0.0.0/8 и попробовать пропинговать/протрассировать 8.8.8.8.

Ну или реализуйте окончательную схему: если вы часть пользователей хотите в ВПН пустить - значит, эту часть отмаркируете. Так и создавайте сразу маршрут для маркированных пакетов, а не в таблице main.

[kreotodr]

Еще раз добрый день!
Хм.. разница есть)
ВКЛ галка - создавать деф. маршрут.

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          188.190.247.1             5
 1 ADS  0.0.0.0/0                          VPN_NL                    1
 2   S  0.0.0.0/0                          188.190.247.1             2
 3 ADC  10.10.10.0/24      10.10.10.1      Bridge_Free               0
 4 ADS  65.108.52.170/32                   188.190.247.1             0
 5 ADC  188.190.247.0/24   188.190.***.*   Port1_WAN                 0
 6 ADC  192.168.42.1/32    192.168.42.11   VPN_NL                    0
 7 ADC  192.168.112.0/24   192.168.112.150 Bridge_Home               0
 

ВЫКЛ галка - создавать деф. маршрут.

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          188.190.247.1             5
 1 A S  0.0.0.0/0                          VPN_NL                    1
 2   S  0.0.0.0/0                          188.190.247.1             2
 3 ADC  10.10.10.0/24      10.10.10.1      Bridge_Free               0
 4 ADC  188.190.247.0/24   188.190.***.*   Port1_WAN                 0
 5 ADC  192.168.42.1/32    192.168.42.13   VPN_NL                    0
 6 ADC  192.168.112.0/24   192.168.112.150 Bridge_Home               0
 

[Chupaka]

65.108.52.170 - это, подозреваю, адрес сервера. Т.е. чтобы работала ваша схема с маршрутом по умолчанию в таблице маршрутизации main, вам надо такой маршрут создать, в противном случае пакеты VPN-тоннеля, которые должны уйти к вашему провайдеру, уходят в VPN, ещё раз заворачиваются в тоннель и процесс повторяется, поэтому ничего не работает Но вам, подозреваю, это не надо. Вам надо лишь задать Routing Mark у вашего статического маршрута 0.0.0.0/0 через VPN и отмаркировать пакеты пользователей, которые должны идти в VPN. В этом случае (если в список VPN-пользователей не попадёт сам роутер) проблемы с "петлёй" не будет.