[РЕШЕНО]Mikrotik PBR и 2 vpn

Обсуждение оборудования и его настройки
Ответить
Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Собственно есть: Микротик, 2 приватные подсети за ним, интернет и 2 VPN сервиса(анонимизатора) в нем. Необходимо сделать хождение в интернет из одной подсети по 1 vpn, из второй подсети по 2 vpn(Если один из vpn падает, то у соответствующей подсети интернет пропадает, совсем.)

Схема:
Изображение

Конфиг:

Код: Выделить всё

/ip address
add address=10.10.1.1/24 interface=vlan101 network=10.10.1.0
add address=10.10.2.1/24 interface=vlan102 network=10.10.2.0

/ip firewall filter
add chain=forward
add chain=input
add chain=output
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=to_vpn1 src-address=10.10.1.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_vpn2 src-address=10.10.2.0/24

/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan
add action=masquerade chain=srcnat out-interface=vpn1
add action=masquerade chain=srcnat out-interface=vpn2

/ip route
add check-gateway=ping distance=1 gateway=vpn1 routing-mark=to_vpn1
add check-gateway=ping distance=1 gateway=vpn2 routing-mark=to_vpn2
add distance=1 gateway=eth1-wan

/ip route rule
add action=drop routing-mark=to_vpn1 table=main
add action=drop routing-mark=to_vpn2 table=main
add routing-mark=to_vpn1 table=to_vpn1
add routing-mark=to_vpn2 table=to_vpn2


С vpn1 все хорошо, работает пакеты идут куда надо и не идут когда не надо, vpn2 отказывается работать(с роутера адреса за ним пингуются), в чем может быть проблема?
Последний раз редактировалось Senter 02 дек 2014, 15:33, всего редактировалось 1 раз.


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Кажется решил, в /ip route rules поставил правила с lookup выше чем drop.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

lookup-only-in-table есть, тогда дропы ненужны и микротик гарантированно будет только с указанной таблицей работать


Есть интересная задача и бюджет? http://mikrotik.site
Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

lookup-only-in-table есть, тогда дропы ненужны и микротик гарантированно будет только с указанной таблицей работать

Спасибо


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Завершая эпопею. Немного подумав отказался от маркировки пакетов вовсе:

Код: Выделить всё

/ip route
add check-gateway=ping distance=1 gateway=vpn1 routing-mark=to_vpn1
add check-gateway=ping distance=1 gateway=vpn2 routing-mark=to_vpn2
/ip route rule
add action=lookup-only-in-table src-address=10.10.1.0/24 table=to_vpn1
add action=lookup-only-in-table src-address=10.10.2.0/24 table=to_vpn2


Ответить