Маркировка исходящих соединений.
Добавлено: 26 дек 2018, 10:55
Многоуважаемые, а помогите моему мозгу остыть, пока он не перегрелся и не вытек)
Есть тоннель тик-тик, используется что бы видеть то, что по мнению ркн видеть низя.
Есть удаленный CHR, у него есть только внешний адрес и всего один интерфейс. Поднимаем до него тоннель и получаем тоннельные адреса, допустим 192.168.YYY.1 у CHR и 192.168.YYY.2 с нашей стороны, при этом основная адресация на нашей стороне отлична от тоннельной 192.168.XXX.0/24
На стороне "клиента" берем мангл и делаем раз
Дальше берем маршрутизацию и делаем два
И на стороне CHR добавляем маршрут что бы он знал кто это такие к нему обращаются
На этом этапе какбэ все, все кто находится в ХХХ.0/24 начинают спокойно ходить туда, куда им ходить низя)
Но тут появляется желание попробовать натификяшки от роутера через телегу и поскольку она заблочена, то мы понимаем что работать это не будет, пока мы не завернем трафик самого роутера до телеграма в тоннель.
На этом этапе у меня начались сомнения в том, правильно ли я делаю, но сделал еще вот так
И нифига, ресурсы телграм по прежнему недоступны, при этом счетчик мангла по правилу output накручивается. Трассировка показывает что трафик почему-то стучит на внешний IP CHR, что вообще будоражит сознание! Но стоит только начать маскарадить трафик уходящий в тоннель, сразу все начинает работать. До этого пользовался бесплатным vpn и там конечно же выходящий в тоннель трафик тоже натился, там то это было необходимо, но в случае со своим CHR и настроенной на нем маршрутизацией, думал, что это лишнее, тем более когда трафик генерирует сам маршрутизатор, который какбэ априори имеет адрес известный CHR, а оказалось что нет.
Как выкрутиться я конечно нашел, но больше хотелось бы понять, почему оно так (почему не работает без маскарада всего что уходит от меня в тоннель) и где я сделал не правильно.
Есть тоннель тик-тик, используется что бы видеть то, что по мнению ркн видеть низя.
Есть удаленный CHR, у него есть только внешний адрес и всего один интерфейс. Поднимаем до него тоннель и получаем тоннельные адреса, допустим 192.168.YYY.1 у CHR и 192.168.YYY.2 с нашей стороны, при этом основная адресация на нашей стороне отлична от тоннельной 192.168.XXX.0/24
На стороне "клиента" берем мангл и делаем раз
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=freeVPN new-routing-mark=freeVPN passthrough=no
Код: Выделить всё
add distance=1 gateway=chr routing-mark=freeVPN
Код: Выделить всё
add distance=1 dst-address=192.168.XXX.0/24 gateway=192.168.YYY.2
Но тут появляется желание попробовать натификяшки от роутера через телегу и поскольку она заблочена, то мы понимаем что работать это не будет, пока мы не завернем трафик самого роутера до телеграма в тоннель.
На этом этапе у меня начались сомнения в том, правильно ли я делаю, но сделал еще вот так
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=output dst-address-list=freeVPN new-routing-mark=freeVPN passthrough=no
Как выкрутиться я конечно нашел, но больше хотелось бы понять, почему оно так (почему не работает без маскарада всего что уходит от меня в тоннель) и где я сделал не правильно.