Доступ в Интернет через 2 MikroTik

Базовая функциональность RouterOS
BertLam
Сообщения: 3
Зарегистрирован: 25 июл 2024, 08:22

Доступ в Интернет через 2 MikroTik

Сообщение BertLam »

Доброго времени суток, уважаемые форумчане!

Столкнулся с необычной задачей и ни как не могу её решить...

Дано:

1 MikroTik:
GW: 11.11.11.11
LAN: 192.168.1.0/24
VPN: 172.16.10.1/30

2 MikroTik:
GW: 22.22.22.22
LAN: 192.168.2.0/24
VPN: 172.16.10.2/30

Оба Мк(MikroTik) с "белыми" статическими адресами. Оба Мк через VPN туннель друг друга "видят", пингуют. Из сети 192.168.1.0/24 все хосты сети 192.168.2.0/24 доступны(и на оборот, из 192.168.2.0/24 доступна вся 192.168.1.0/24).

Задача:
Настроить доступ в интернет для пользователей 192.168.1.0/24 с адреса 22.22.22.22

Буду признателен за любую помощь.
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Доступ в Интернет через 2 MikroTik

Сообщение Chupaka »

Приветствую. Если просто "в лоб", без исключения - на первом роутере:

Код: Выделить всё

# чтобы не завернуть трафик тоннеля в сам тоннель
/ip route add dst-address=22.22.22.22 gateway=11.11.11.11
# всё остальное отправляем в тоннель; другой маршрут по умолчанию или удалить,
# или увеличить ему distance - тогда он будет фейловером при отваливании VPN
/ip route add dst-address=0.0.0.0/0 gateway=VPN-интерфейс
На этом должно заработать :)

Либо делать через Policy Routing:

Код: Выделить всё

/routing table add name=all-to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=VPN-interface routing-table=all-to-vpn
/ip firewall mangle add chain=prerouting dst-address-type=!local src-address-list=THROUGH_VPN \
  action=mark-routing new-routing-mark=all-to-vpn
И в Address List с именем THROUGH_VPN добавить IP-адреса хостов, которых надо через второй мелкотик выпускать
BertLam
Сообщения: 3
Зарегистрирован: 25 июл 2024, 08:22

Re: Доступ в Интернет через 2 MikroTik

Сообщение BertLam »

Chupaka - благодарю за участие!
Chupaka писал(а): 25 июл 2024, 16:53 Либо делать через Policy Routing:

Код: Выделить всё

/routing table add name=all-to-vpn fib
/ip route add dst-address=0.0.0.0/0 gateway=VPN-interface routing-table=all-to-vpn
/ip firewall mangle add chain=prerouting dst-address-type=!local src-address-list=THROUGH_VPN \
  action=mark-routing new-routing-mark=all-to-vpn
И в Address List с именем THROUGH_VPN добавить IP-адреса хостов, которых надо через второй мелкотик выпускать
Интуитивно, второй вариант мне кажется более приемлемым.

Вам не составит труда, чуть пояснить?

Код: Выделить всё

/ip firewall mangle add chain=prerouting dst-address-type=!local src-address-list=THROUGH_VPN \
  action=mark-routing new-routing-mark=all-to-vpn
Это на первом роутере?


Chupaka писал(а): 25 июл 2024, 16:53И в Address List с именем THROUGH_VPN добавить IP-адреса хостов, которых надо через второй мелкотик выпускать
А если мне весь трафик через VPN пропускать нужно?


P.S. Еще раз - благодарю за участие в решении моего вопроса.
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Доступ в Интернет через 2 MikroTik

Сообщение Chupaka »

Да, всё на первом роутере. Его задача - загнать трафик в тоннель, а там уже второй должен сам разобраться (но всё зависит от настроек, конечно же).

Если весь трафик через VPN нужно - тогда можно локальную подсеть (192.168.1.0/24) добавить в Address List.
BertLam
Сообщения: 3
Зарегистрирован: 25 июл 2024, 08:22

Re: Доступ в Интернет через 2 MikroTik

Сообщение BertLam »

Вся беда в том, что трасировка обрывается на втором роутере...
Именно его я не смог правильно настроить...
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Доступ в Интернет через 2 MikroTik

Сообщение Chupaka »

Т.е. второй роутер в трассировке есть, а 22.22.22.22 - уже нет?
Значит, нужны настройки второго роутера (/export hide-sensitive). А то мы даже тип ВПН пока не знаем...