L2TP/SSTP через указанный внешний интерфейс

[garaww]

Здравствуйте!
Есть микротик поднимающий несколько клиентов vpn через основной интерфейс смотрящий в интернет. На нем есть еще резервный интерфейс (LTE).
Мне нужно чтобы определенный vpn клиент с этого микротика поднял свой интерфейс через LTE. RouterOS 6-я. Трафик внешних интерфейсов помечен, и маршруты разведены по помеченному трафику. В цепочке OUTPUT мне надо как то указать чтобы трафик создающий vpn соединение шел через LTE. У меня получилось только через указание адреса назначения. Т.е. если роутер поднимает vpn на какой то другой адрес то все работает. А вот сделать так чтобы адрес подключения vpn был один и тот же у меня не получилось. Если я пытаюсь указывать интерфейс где нибудь (в mangle или vrf) то как я понимаю имеется ввиду трафик внутри интерфейса, а в данном случае нужно пропустить трафик возникающий при создании соединения.
Пробовал подменить IP назначения dst-nat с некого несуществующего IP на реальный, но работает это только видимо в forward, а у меня сам роутер формирует трафик..
Подскажите как можно сделать не используя другой внешний IP? Я скорее любитель..
Механизм хотел использовать для того чтобы держать всегда vpn-соединение через LTE горячим. Чтобы в случае отвала основного провайдера маршруты перестроились (OSPF) сначала на этот горячий туннель и только потом по мере отвала основных vpn соединений (на сервере vpn они отваливаются по таймауту, а таймаут не хотелось бы уменьшать) уже перешла перестройка на LTE. Ну либо вообще развести разные vpn коннекты по разным внешним интерфейсам.
В тестовом режиме у меня сейчас так работает (вторым dest IP является виртуальный микротик у хостера), но хотелось бы упростить.

[Erik_U]

Попробуйте эти 2 варианта.

1. Создать вторую таблицу маршрутизации, в которой маршрут по умолчанию - через LTE.
L2TP траффик в мангле направьте в эту таблицу. Если L2TP с IPSEC, то нужно заворачивать PSEC траффик, потому, что сначала создается соединение по IPSEC, а потом внутри него уже L2TP. SSTP оставьте в основной таблице.

2. Роутинг-фильтры-правила. Позволяет менять GW-интерфейс. Посмотрите документацию.
https://help.mikrotik.com/docs/display/ ... nd+Filters
Но я точно не помню, как фильтры работал в ROS6. Может там этого и нет.
https://wiki.mikrotik.com/wiki/Manual:R ... ng_filters
Нужно проверять.

У меня готового рецепта для ROS6 нет.
Мне для решения этой задачи оказалось проще перейти на ROS7, и использовать WG вместо IPSEC, L2TP и GRE.

[garaww]

Так как раз и проблема направить SSTP трафик с vpn с определенным именем пользователя. Делить SSTP на основной а L2TP на резервный или наоборот не могу, они у меня дублируют друг друга.
Если только OpenVPN еще поднять заодно....
На 7ю версию не могу обновить - роутеров много и в других городах, боюсь утерять доступ. Я уже пробовал на одном локально в офисе - он перелопатил настройку OSPF при обновлении и доступ изнутри ВПН отвалился, а снаружи на некоторых провайдерах серый IP - доступ напрямую к роутеру не получить.
Пункт 2 почитаю, какие то фильтры там есть, но по моему они относятся к OSPF и другим протоколам динамической маршрутизации,
Спасибо!