default route distance при подключении L2TP или PPTP клиента. [SOLVED]

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Alexander.Tselykh
Сообщения: 7
Зарегистрирован: 18 дек 2018, 13:31

Натолкнулся на проблему в последних прошивках (6.42.7, 6.43.7) с дефолтом.
Ситуация:
Mikrotik hAP lite, RB941 (RouterOS 6.43.7),
имеем подключение к провайдеру по езернету с динамической айпишкой (например 172.16.22.208),
имеем, соответственно маршрут:
0.0.0.0/0 gw 172.16.22.1 distance 1
в данном случае листанция (метрика) устанавливается автоматом, в дальнейшем возможности изменить я её не нашел.

создаем подключение к VPN (L2TP или PPTP несущественно - результат одинаковый)

получаем в результате маршрутизацию:

0.0.0.0/0 gw 172.16.22.1 distance 1
0.0.0.0/0 gw l2tp-out1 distance 1

что, каг бе, нонсенс....

мне нужно завернуть весь трафик в VPN. Понизить метрику езернет соединения с провайдером я не нашел возможности, поставить 0 метрику на впн-соединение через веб интерфейс, в последних прошивках не позволяет.

Кто может помочь?
Последний раз редактировалось Alexander.Tselykh 18 дек 2018, 15:08, всего редактировалось 1 раз.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если речь о том, что бы завернуть весь трафик устройств за вашим маршрутизатором в впн, который находится где-то в интернете, то самый простой способ это пометить весь трафик вашей внут. сети и создать "рукотворный" маршрут с данной меткой черз это тоннель.


Alexander.Tselykh
Сообщения: 7
Зарегистрирован: 18 дек 2018, 13:31

KARaS'b писал(а): 18 дек 2018, 14:17 Если речь о том, что бы завернуть весь трафик устройств за вашим маршрутизатором в впн, который находится где-то в интернете, то самый простой способ это пометить весь трафик вашей внут. сети и создать "рукотворный" маршрут с данной меткой черз это тоннель.
Вы имеете ввиду тегировать траффик и строить маршрутизацию на vlan'ах?

Если да, то можно поподробнее, я не очень представляю эту схему в работе в данном случае....

И, неужели нет решения проще? в принципе впн интерфейс динамический, при его апе, наиболее логичным есть смена метрики существующего дефолта или замена его, при наличии "галочки" делать дефолт на впн. По сути это баг прошивки. Вопрос сейчас - как с наименьшими затратами это пролечить.

Вопрос, можно ли в CLI поменять метрику(дистанцию) на 10, например, для ван порта ether1? ну или проставить таки метрику 0 для л2тп, как и было в предыдущих прошивках?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Все же просто. Создаете маршрут
0.0.0.0/0 gw l2tp-out1 distance 1 route-mark vpn_route

дальше идете либо mangle? либо как вариан ip - route - rules

Собственно что там, что там заворачиываете трафик с нужных вам адресов в тоннель, т.к. тоннель есть типа внешний канал то не забываем src-nat навешать


Есть интересная задача и бюджет? http://mikrotik.site
Alexander.Tselykh
Сообщения: 7
Зарегистрирован: 18 дек 2018, 13:31

Сасибо всем!

с маркировкой таки, да - вариант, не рассматривал, спасибо, возможно пригодится в будущем!

проблемка полечилась немного проще, причем случайно попал на настройку.
веб-конфиг - IP - DHCP client, берем клиент от ван интерфейса (в моем случае ether1) и в нем ставим метрику , отличную от 1.
Поставил 10 и получил, результат - ван через езер1 имеет дефолт с метрикой 10, впн, когда поднимается, получает дефолт с метрикой 1, все поехало.

Еще раз спасибо за помощь!

мож кому пригодится:)


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

хм. Судя по описанию Вас ждет разочарование либо вы еще доп маршрут добавили до сервера ВПН. Логика проста.
Основной маршрут с метрикой 10
ВПН 1

Соответственно когда у Вас поднимется ВПН то весь трафик включая СЛУЖЕБНЫЙ ДЛЯ ПОДДЕРЖАНИЯ ВПН пойдет через ВПН тоннель и через некоторое время он упадет.

Далее основной канал снова поднимется, снова поднимется ВПН и так в цикле и до бесконечности


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Управляйте роутером через WinBox = там всё сразу и было доступно.
И у L2TP и у PPTP и у других протоколов подключения
можно поставить галочку "Add default route", и внизу,
в активном поле можно явно указать значения дистанции.

Многие провайдеры так делали и местами делают (как у Вас сейчас с маршрутами):
а) сначала подключаешься к их сети, получаешь какой-то адрес
б) поднимаешь подключение уже к Интернету через/поверх этого
адреса посредством PPTP/L2TP/PPPoE.
Соответственно маршруты нужны и уровень их порядка тоже важен
и можно/нужно явно настраивать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Alexander.Tselykh
Сообщения: 7
Зарегистрирован: 18 дек 2018, 13:31

vqd писал(а): 18 дек 2018, 15:14 хм. Судя по описанию Вас ждет разочарование либо вы еще доп маршрут добавили до сервера ВПН. Логика проста.
Основной маршрут с метрикой 10
ВПН 1

Соответственно когда у Вас поднимется ВПН то весь трафик включая СЛУЖЕБНЫЙ ДЛЯ ПОДДЕРЖАНИЯ ВПН пойдет через ВПН тоннель и через некоторое время он упадет.

Далее основной канал снова поднимется, снова поднимется ВПН и так в цикле и до бесконечности
Этого не происходит.

Роутер поднимает следующие маршруты, при установленном соединении с провайдером:
172.16.22.0/24 gw ether1 reachable distance 0
этот маршрут остается неизменным при поднятии впна.

после установки впн соединения также остаются 2 маршрута с метрикой 0
x.x.x.x/32 (белый адрес впн сервера) gw 172.16.22.1 reachable ether1 (gateway провайдера) distance 0
10.z.z.1/32 (gw vpn'сервера) gw l2tp-out1 reachable distance 0

т.е. практически получаем стабильную маршрутизацию, которая нам и нужна.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну это нужно жать руку админу вашего оператора, тот предвидя такую ситуевину передал вам нужный маршрут. Это скорее исключение нежели хорошая практика


Есть интересная задача и бюджет? http://mikrotik.site
Alexander.Tselykh
Сообщения: 7
Зарегистрирован: 18 дек 2018, 13:31

vqd писал(а): 18 дек 2018, 15:43 ну это нужно жать руку админу вашего оператора, тот предвидя такую ситуевину передал вам нужный маршрут. Это скорее исключение нежели хорошая практика
:-):

Соласен... :)


Ответить