Коллеги споткнулся на ровном месте
Поднял VPN туннель - все ок, все абоненты выходят наружу через VPN
Как только снимаю (в VPN клиенте) галку с "Add Default Route" и прописываю статический маршрут, через VPN ничего не выходит наружу. Статус VPN клиента - connected. Включаю галку обратно, все работает
Необходимость от отказа "Add Default Route", возникла в связи с задачей пустить часть абонентов НЕ через VPN.
Где туплю?
Первый скрин работает (Дефолт)
Второй скрин не работает (Статический маршрут)
VPN + статический маршрут
-
- Сообщения: 41
- Зарегистрирован: 31 мар 2018, 10:05
VPN + статический маршрут
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4080
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: VPN + статический маршрут
Приветствую.
Какая версия RouterOS? Не может быть такого, что при установленной галке создаётся ещё и маршрут к PPTP-серверу (не через VPN), которого не хватает во втором случае (чтобы трафик самого VPN не пытался ещё раз в этот VPN завернуться)?
Какая версия RouterOS? Не может быть такого, что при установленной галке создаётся ещё и маршрут к PPTP-серверу (не через VPN), которого не хватает во втором случае (чтобы трафик самого VPN не пытался ещё раз в этот VPN завернуться)?
-
- Сообщения: 41
- Зарегистрирован: 31 мар 2018, 10:05
Re: VPN + статический маршрут
Добрый день!
Вопрос остался открытым.
Тестировал на ExpressVPN и Hidemynames - RoS 6.48 Long-term.
На RoS 7.8 Stable идентична картина
Вопрос остался открытым.
Тестировал на ExpressVPN и Hidemynames - RoS 6.48 Long-term.
На RoS 7.8 Stable идентична картина
-
- Сообщения: 4080
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: VPN + статический маршрут
Добрый. Мой вопрос тоже остался неотвеченным Сравните уже /ip route print в первом и втором случае.
Для более простой проверки можете статический маршрут создать не 0.0.0.0/0, а, например, 8.0.0.0/8 и попробовать пропинговать/протрассировать 8.8.8.8.
Ну или реализуйте окончательную схему: если вы часть пользователей хотите в ВПН пустить - значит, эту часть отмаркируете. Так и создавайте сразу маршрут для маркированных пакетов, а не в таблице main.
Для более простой проверки можете статический маршрут создать не 0.0.0.0/0, а, например, 8.0.0.0/8 и попробовать пропинговать/протрассировать 8.8.8.8.
Ну или реализуйте окончательную схему: если вы часть пользователей хотите в ВПН пустить - значит, эту часть отмаркируете. Так и создавайте сразу маршрут для маркированных пакетов, а не в таблице main.
-
- Сообщения: 41
- Зарегистрирован: 31 мар 2018, 10:05
Re: VPN + статический маршрут
Еще раз добрый день!
Хм.. разница есть)
ВКЛ галка - создавать деф. маршрут.
ВЫКЛ галка - создавать деф. маршрут.
Хм.. разница есть)
ВКЛ галка - создавать деф. маршрут.
Код: Выделить всё
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 188.190.247.1 5
1 ADS 0.0.0.0/0 VPN_NL 1
2 S 0.0.0.0/0 188.190.247.1 2
3 ADC 10.10.10.0/24 10.10.10.1 Bridge_Free 0
4 ADS 65.108.52.170/32 188.190.247.1 0
5 ADC 188.190.247.0/24 188.190.***.* Port1_WAN 0
6 ADC 192.168.42.1/32 192.168.42.11 VPN_NL 0
7 ADC 192.168.112.0/24 192.168.112.150 Bridge_Home 0
Код: Выделить всё
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 188.190.247.1 5
1 A S 0.0.0.0/0 VPN_NL 1
2 S 0.0.0.0/0 188.190.247.1 2
3 ADC 10.10.10.0/24 10.10.10.1 Bridge_Free 0
4 ADC 188.190.247.0/24 188.190.***.* Port1_WAN 0
5 ADC 192.168.42.1/32 192.168.42.13 VPN_NL 0
6 ADC 192.168.112.0/24 192.168.112.150 Bridge_Home 0
-
- Сообщения: 4080
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: VPN + статический маршрут
65.108.52.170 - это, подозреваю, адрес сервера. Т.е. чтобы работала ваша схема с маршрутом по умолчанию в таблице маршрутизации main, вам надо такой маршрут создать, в противном случае пакеты VPN-тоннеля, которые должны уйти к вашему провайдеру, уходят в VPN, ещё раз заворачиваются в тоннель и процесс повторяется, поэтому ничего не работает Но вам, подозреваю, это не надо. Вам надо лишь задать Routing Mark у вашего статического маршрута 0.0.0.0/0 через VPN и отмаркировать пакеты пользователей, которые должны идти в VPN. В этом случае (если в список VPN-пользователей не попадёт сам роутер) проблемы с "петлёй" не будет.