Выход определенных ip адресов в интернет через туннель

Обсуждение ПО и его настройки
Xsyava
Сообщения: 19
Зарегистрирован: 22 май 2019, 23:15

Здравствуйте!
Помогите, пожалуйста, решить следующую задачу.
Имеются два волшебных роутера микротик. Есть две сети с выходом в интернет:
1-я - 192.168.0.0/24 эта сеть имеет белый ip
2-я - 192.168.8.0/24 имеет серый ip

между ними поднят VPN туннель по PPTP (vpn сеть 192.168.5.1-192.168.5.2). компьютеры из 1-ой и 2-ой сети видят друг друга.

Теперь появилась задача, чтобы конкретные компьютеры со 2-й сети (192.168.8.101-192.168.8.110) ходили в интернет через vpn и соответственно белый ip 1-ой сети, остальные же компьютеры 2-ой сети продолжали выходить в интернет через свой серый ip.
Как это правильно это реализовать?
Заранее спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все просто.

Создаете два листа в Address list с нужными IP.
Создаете два правила маркировки prerouting для этих листов.
В IP-routes нужные маршруты ограничиваете по нужной маркировке.

А так все это уже давно описано viewtopic.php?p=31356#p31356


Xsyava
Сообщения: 19
Зарегистрирован: 22 май 2019, 23:15

Спасибо за ответ. Пока не очень понимаю что нужно сделать, но после приезда почитаю и попробую разобраться.


Xsyava
Сообщения: 19
Зарегистрирован: 22 май 2019, 23:15

Вернулся, почитал. С маркировкой теперь вроде понятно. А что нужно сделать чтобы вообще компьютеры из 2-ой сети выходили в интернет через шлюз 1-ой сети (белый IP)? :smu:sche_nie: У меня есть только маршруты из 1-ой локальной сети во 2-ую и наоборот для объединения их в общую локальную сеть.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Xsyava писал(а): 30 май 2019, 10:49 Вернулся, почитал. С маркировкой теперь вроде понятно. А что нужно сделать чтобы вообще компьютеры из 2-ой сети выходили в интернет через шлюз 1-ой сети (белый IP)? :smu:sche_nie: У меня есть только маршруты из 1-ой локальной сети во 2-ую и наоборот для объединения их в общую локальную сеть.
Во 2-й сети дефолтный маршрут направить в PPPTP интерфейс (в сеть 1), и в маскарадинг микротика 1 добавить сеть 2


Xsyava
Сообщения: 19
Зарегистрирован: 22 май 2019, 23:15

В моем случае дефолтный маршрут для 2-ой сети должен идти через шлюз 2-ой сети напрямую в интернет. Только для определенных ip адресов со 2-ой сети, которые я по подсказке gmx пометил и направляю в в vpn, должен быть выход через 1-ю сеть. И не совсем понимаю по поводу добавления в маскарадинг микротика 1 2-ой сети.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Вы спрашивали "А что нужно сделать чтобы вообще компьютеры из 2-ой сети выходили в интернет через шлюз 1-ой сети (белый IP)?"
Это совсем не
"В моем случае дефолтный маршрут для 2-ой сети должен идти через шлюз 2-ой сети напрямую в интернет. Только для определенных ip адресов со 2-ой сети, которые я по подсказке gmx пометил и направляю в в vpn, должен быть выход через 1-ю сеть."

Если вы их маркировали, значит в таблице маршрутизации у вас их две (таблицы). Одна Main, вторая - с именем, как вы отмаркировали.
Установите другой дефолтный маршрут для этой второй таблицы. Если вы их уже другим способом в VPN направили - ничего не добавляйте. Если пакеты из 2 сети улетают в нужном направлении - займитесь 1-й сетью.

Маскарадинг нужно настраивать. Он сделан для подсети 1. И поэтому попытки выйти через это правило из другой подсети (2) не сработает. Нужно для этой другой подсети делать свое правило маскарадинга.
Микротик 2 направляет пакеты на микротик 1, а теперь нужно, чтобы микротик 1 направил их в интернет, а не дропнул. Для этого они должны соответствовать правилу, или правило соответствовать им.


Xsyava
Сообщения: 19
Зарегистрирован: 22 май 2019, 23:15

Пакеты действительно уходят. Более того с компьютера (из тех выделенных компов 2-ой сети которые должны ходить через vpn) ping проходит и видно что маршрут идет через 1-й шлюз. А браузер работать не хочет. Судя по всему это как раз из-за отсутствия маскардинга на микротике 1 про то что вы говорили. Можете, пожалуйста, привести примерную команду для настройки его?


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

У вас на микротике есть уже скорее всего подобная запись для сети 192.168.0.0/24

/ip firewall nat
add chain=srcnat src-address=192.168.0.0/24 action=masquerade out-interface=Как_называется_интерфейс

добавьте вторую для 192.168.8.0/24

add chain=srcnat src-address=192.168.8.0/24 action=masquerade out-interface=Как_называется_интерфейс


Xsyava
Сообщения: 19
Зарегистрирован: 22 май 2019, 23:15

Не помогает. Да и в основном маршруте неуказано srcnat, т.е. по идее маскарадинг должен работать для любой сети в том числе и для 2-ой.
Странно то что проходят пинги.

Изображение
Первый пинг это как раз из того диапазона ip адресов которые должны ходить через шлюз микротика 1. Вроде бы все нормально но интернета нет.

Второй пинг для других компьютеров из 2-ой сети которые выходят в интернет через свой 2-ой шлюз. Тут соостветственно инет есть.

А с первым беда... А не может это быть от размера пакетов? Писали что не помещалась служебная информация или что-то подобное


Закрыто