Как направить трафик через OVPN-туннель

Обсуждение ПО и его настройки
bynext
Сообщения: 9
Зарегистрирован: 09 фев 2018, 22:11

Доброго времени суток, уважаемые!

Дома у меня интернет и телефон от ОнЛайма. На даче интернет от другого провайдера. Дома и на даче стоят роутеры MikroTik, между ними поднят OVPN. На даче стоит IP-телефон. У ОнЛайма имеется SIP-сервер tel2.moscow.rt.ru. Он доступен из сети ОнЛайма, но не доступен из сети других провайдеров.

Теперь к сути. Необходимо завернуть трафик, идущий с дачи на SIP-сервер tel2.moscow.rt.ru в VPN-туннель, чтобы таки достучаться до SIP-сервера.

сеть микротик дом 192.168.0.1/24 (vpn ip 192.168.3.1)
сеть микротик дача 192.168.1.1/24 (vpn ip 192.168.3.50)
ip voip сервера доступного только на микротике дом tel2.moscow.rt.ru (77.37.128.140)

/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1

Пытался смаршрутизировать правилом в route ничего не вышло пакеты теряются в домашнем микротике и не как не идут в wan порт

Как это сделать - ума не приложу. Гуру MikroTik-а, помогите!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Теория:
1) создать адрес-лист и поместить туда то, что будем потом заворачивать. Айпи адреса, название узлов
2) данные из адрес-листа нам нужно про-маркировать (пометить)
3) потом уже про-маркированный трафик отсылаем (заруливаем) туда (в тот канал), куда надо нам.
3.1) в Вашем случаи я не понял, Вы с дачи всё загоняете в ВПН или только нужное?
3.1.1) если всё, то тогда 1-3 пункты делать уже надо на домашнем микротике
3.1.2) если не всё, тогда надо делать это на дачном микротике, и явно направлять про-маркированное
в ВПН, но и возможно и на домашнем возможно роутере надо будет проверить, уходит как надо?
4) так как пакеты с дачи (про-маркированные) придут уже от той сети (от IP-адресации дачи), не забыть:
4.1) их прописать на файрволе домашнего микротика (чтобы случайно он их не заблокировал)
4.2) также их НАТИТЬ для ухода наружу, то есть позволить другой сети работать через НАТ дом.микротика.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Слишком сложно все ...

Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.

Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)

Всё.


bynext
Сообщения: 9
Зарегистрирован: 09 фев 2018, 22:11

enzain писал(а): 10 фев 2018, 15:33 Слишком сложно все ...

Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.

Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)

Всё.
Так я же написал что так не получается, попробовал смаршрутизировать вот таким образом:
/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1

пакеты в домашнем роутере теряются...
хотел сделать с маркеровкой пакетов но что то не получилось и не понял теорию маркировки...


bynext
Сообщения: 9
Зарегистрирован: 09 фев 2018, 22:11

Vlad-2 писал(а): 10 фев 2018, 09:25 Теория:
1) создать адрес-лист и поместить туда то, что будем потом заворачивать. Айпи адреса, название узлов
2) данные из адрес-листа нам нужно про-маркировать (пометить)
3) потом уже про-маркированный трафик отсылаем (заруливаем) туда (в тот канал), куда надо нам.
3.1) в Вашем случаи я не понял, Вы с дачи всё загоняете в ВПН или только нужное?
3.1.1) если всё, то тогда 1-3 пункты делать уже надо на домашнем микротике
3.1.2) если не всё, тогда надо делать это на дачном микротике, и явно направлять про-маркированное
в ВПН, но и возможно и на домашнем возможно роутере надо будет проверить, уходит как надо?
4) так как пакеты с дачи (про-маркированные) придут уже от той сети (от IP-адресации дачи), не забыть:
4.1) их прописать на файрволе домашнего микротика (чтобы случайно он их не заблокировал)
4.2) также их НАТИТЬ для ухода наружу, то есть позволить другой сети работать через НАТ дом.микротика.
мне нужно завернуть трафик только Voip (77.37.128.140) больше ничего не нужно, пытался маркернуть, но теорию не доконца понял, если поможете с конкретными примерами, буду безмерно благодарен!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

bynext писал(а): 10 фев 2018, 23:29 мне нужно завернуть трафик только Voip (77.37.128.140) больше ничего не нужно, пытался маркернуть, но теорию не доконца понял, если поможете с конкретными примерами, буду безмерно благодарен!
Я понял задачу, но Вы мои советы прочитали, а диалога у нас (ответного) не получилось.
На вопросы, которые я уместил в советах - Вы не ответили даже.
Я же задавал их там:
Как Вы сделали маршрутизацию, что идёт через ВПН туннель (всё или не всё)?

Второе: я описал логику и теорию, даже явно показал что надо делать.
Вы же не в разделе для начинающих, значит минимально-основное знаете,
То есть как создать адрес лист и поместить туда адрес Вашего VoIP Вы должны уметь.

В манглах мы указываем наш адрес лист, всё что внутри этого листа маркируется,
а уже в таблице маршрутизации Вы должны промакрированный трафик привязать
куда-то (а куда, это зависит от ситуации, либо в ВПН-канал, либо сразу в WAN-канал,
явно посоветовать не могу, ибо от Вас нету уточнения схемы в целом).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

bynext писал(а): 10 фев 2018, 23:25
enzain писал(а): 10 фев 2018, 15:33 Слишком сложно все ...

Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.

Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)

Всё.
Так я же написал что так не получается, попробовал смаршрутизировать вот таким образом:
/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1

пакеты в домашнем роутере теряются...
хотел сделать с маркеровкой пакетов но что то не получилось и не понял теорию маркировки...
трасировка что показывает?
Должна показывать маршрут до сервера через ваш домашний роутер.
Значит настроено на домашнем что то не так ... маскарадинг добавили входящий овпн исходящий интернет?


bynext
Сообщения: 9
Зарегистрирован: 09 фев 2018, 22:11

Трасеровка дача:
[bynext@desc ~]$ tracepath 77.37.128.140
1?: [LOCALHOST] pmtu 1500
1: router 0.563ms
1: router 0.543ms
2: 192.168.3.1 5.866ms
3: no reply
4: no reply
5: no reply
6: no reply
^C

вот трасировка доходит до микротика домашнего и все...
Маскарадинг на домашнем роутере только в его сеть, на дачу нет маскарадинга, может из за этого? (а не пробовал, посмотрел, есть правило из адреслиста маскарад в опенВПН - трафик непроходит)
Последний раз редактировалось bynext 11 фев 2018, 20:01, всего редактировалось 2 раза.


bynext
Сообщения: 9
Зарегистрирован: 09 фев 2018, 22:11

Vlad-2 писал(а): 11 фев 2018, 06:21 Я понял задачу, но Вы мои советы прочитали, а диалога у нас (ответного) не получилось.
На вопросы, которые я уместил в советах - Вы не ответили даже.
Я же задавал их там:
Как Вы сделали маршрутизацию, что идёт через ВПН туннель (всё или не всё)?

Второе: я описал логику и теорию, даже явно показал что надо делать.
Вы же не в разделе для начинающих, значит минимально-основное знаете,
То есть как создать адрес лист и поместить туда адрес Вашего VoIP Вы должны уметь.

В манглах мы указываем наш адрес лист, всё что внутри этого листа маркируется,
а уже в таблице маршрутизации Вы должны промакрированный трафик привязать
куда-то (а куда, это зависит от ситуации, либо в ВПН-канал, либо сразу в WAN-канал,
явно посоветовать не могу, ибо от Вас нету уточнения схемы в целом).
Сори, вопрос не понял, отвечаю
между дачей и домом проброшены только внутренние сетки правилом в ROUTE
/ip route
add distance=1 gateway=ovpn-tuh routing-mark=rt
add disabled=yes distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.3.1
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=rt.voip new-routing-mark=rt passthrough=yes
/ip firewall address-list
add address=0.0.0.0/8 list=BOGONS
add address=10.0.0.0/8 list=BOGONS
add address=100.64.0.0/10 list=BOGONS
add address=127.0.0.0/8 list=BOGONS
add address=169.254.0.0/16 list=BOGONS
add address=172.16.0.0/12 list=BOGONS
add address=192.0.0.0/24 list=BOGONS
add address=192.0.2.0/24 list=BOGONS
add address=192.168.0.0/16 list=BOGONS
add address=198.18.0.0/15 list=BOGONS
add address=198.51.100.0/24 list=BOGONS
add address=203.0.113.0/24 list=BOGONS
add address=224.0.0.0/3 list=BOGONS
add address=77.37.128.140 list=rt.voip

на другой противоположное правило...
кстати первой записью я пытался промаркеровать как раз трафик

добавил в адрес-лист данный айпи и в манглах его промаркировал в роутах прописал куда завернуть, результат 0...


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

bynext писал(а): 11 фев 2018, 19:45 Маскарадинг на домашнем роутере только в его сеть, на дачу нет маскарадинга, может из за этого?

Маскарадинг сети дачной так же как сети роутера должен быть.
И все заработает.

Забудте о маркировке траффика, вам она не нужна, просто маскарадинг сети дачной через аут интерфейс - и все заработает


Ответить