Для того что бы не разгрузить микротик, хочу поставить дополнительный роутер на openwrt которые бы поддерживал VPN
У меня роутер стоит по адресу *.1, а на *.3 стоит openwrt роутер без wan
с одним eth и поднятым исходящим vpn wireguard (интернет через .1).
Для компьтера в сети *.35 весь трафик помечается как vpn и есть статический
роутинг для vpn где в качестве gateway указан .3
Если сделать ping или traceroute c *.35 на любой адрес, то все работает, причем traceroute такой .1 .3 .... Но сайты при это не открываются.
Если же я проишу на .35 default gateway как .3 (вместо .1)
То у меня все работает, и сайты открываются и пингуется.
Роутинг vpn на дополнительный gateway.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вынесите порт в сторону второго роутера в отдельную сеть (так чтобы у вас там был только он и микрот).
А то сейчас у вас треугольник получается - в одну сторону пакеты идут через микрот, а обратно - напрямую. Микротиковский firewall такое не любит, и сбрасывает tcp.
А то сейчас у вас треугольник получается - в одну сторону пакеты идут через микрот, а обратно - напрямую. Микротиковский firewall такое не любит, и сбрасывает tcp.
Telegram: @thexvo
-
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
Сори, туплю, не понял эту часть.
Надо роутер с openwrt перенести в другую подсетку?
к примеру:
микротик: *.1.1 и *.2.1
openwrt: *.2.2
комп: *.1.3
тогда gateway для маркированного трафика для 1.3 микротике должен быть *.2.1?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Да.
Вынести один порт из бриджа, и на нем еще одну сеть.
Вынести один порт из бриджа, и на нем еще одну сеть.
Telegram: @thexvo
-
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
Не получается, у меня openwrt стоит на виртуалке на одном из серваков :)
ЗЫ Какую скорость можно получить по wireguard на RB750Gr3
Может я зря затеял выделенный сервак для ВПН?
ЗЫ2 Еще бы не зависал входящий ВПН на микротике
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
Нашел я железку с openwrt и wireguard на борту. Освободил один порт на микротике.
Есть пара вопросов:
к примеру вся сетка у меня живет на 192.168.1.*
На openwrt поднимаю wireguard сервер, с адресами 192.168.3.1, пробрасываю порт с 1.1 на openwrt
Нужно ли мне железяку с openwrt надо выносить в отдельную подсетку типа 192.168.2.* или же я ее могу просто оставить как 192.168.1.2?
все src ip адреса которые надо отправить в vpn я помещают в адрес лист. Как у меня должен выглядеть роутинг в 1.1?
Есть пара вопросов:
к примеру вся сетка у меня живет на 192.168.1.*
На openwrt поднимаю wireguard сервер, с адресами 192.168.3.1, пробрасываю порт с 1.1 на openwrt
Нужно ли мне железяку с openwrt надо выносить в отдельную подсетку типа 192.168.2.* или же я ее могу просто оставить как 192.168.1.2?
все src ip адреса которые надо отправить в vpn я помещают в адрес лист. Как у меня должен выглядеть роутинг в 1.1?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Лучше в отдельную.
Иначе могут быть непонятки со стороны firewall'а на основном роутере.
Все как обычно:
Отдельная таблица с дефолтным маршрутом в туннель.
Mangle - mark-connection для ваших src-address.
Потом mark-routing исходящих пакетов этих соединений вот в эту новую таблицу.
И исключения на fasttrack для помеченного трафика.
Иначе могут быть непонятки со стороны firewall'а на основном роутере.
Все как обычно:
Отдельная таблица с дефолтным маршрутом в туннель.
Mangle - mark-connection для ваших src-address.
Потом mark-routing исходящих пакетов этих соединений вот в эту новую таблицу.
И исключения на fasttrack для помеченного трафика.
Telegram: @thexvo
-
- Сообщения: 84
- Зарегистрирован: 14 дек 2017, 06:52
Ок, спасибо на выходных попробую.
По fasttrack, что будет если не добавить исключения для fasttrack?
у меня ка кто не сильно влияет на производительность включенный или выключенный fasttrack. Средняя загрузка процессора в районе 10-20%
Он получается стоит у меня в самом конце таблицы filter rules, его надо перенести на верх?
По fasttrack, что будет если не добавить исключения для fasttrack?
у меня ка кто не сильно влияет на производительность включенный или выключенный fasttrack. Средняя загрузка процессора в районе 10-20%
Он получается стоит у меня в самом конце таблицы filter rules, его надо перенести на верх?
Последний раз редактировалось retom 20 дек 2022, 18:27, всего редактировалось 2 раза.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если соединение пометится для fasttrack, то никакой mangle для него работать уже не будет.
Лучше конечно в начало поднять, но не сильно принципиально, если конечно оно работает.
Главное чтобы оно было выше такого же правила на established,related но с action=accept
Лучше конечно в начало поднять, но не сильно принципиально, если конечно оно работает.
Главное чтобы оно было выше такого же правила на established,related но с action=accept
Telegram: @thexvo