Доброго времени суток, уважаемые!
Дома у меня интернет и телефон от ОнЛайма. На даче интернет от другого провайдера. Дома и на даче стоят роутеры MikroTik, между ними поднят OVPN. На даче стоит IP-телефон. У ОнЛайма имеется SIP-сервер tel2.moscow.rt.ru. Он доступен из сети ОнЛайма, но не доступен из сети других провайдеров.
Теперь к сути. Необходимо завернуть трафик, идущий с дачи на SIP-сервер tel2.moscow.rt.ru в VPN-туннель, чтобы таки достучаться до SIP-сервера.
сеть микротик дом 192.168.0.1/24 (vpn ip 192.168.3.1)
сеть микротик дача 192.168.1.1/24 (vpn ip 192.168.3.50)
ip voip сервера доступного только на микротике дом tel2.moscow.rt.ru (77.37.128.140)
/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
Пытался смаршрутизировать правилом в route ничего не вышло пакеты теряются в домашнем микротике и не как не идут в wan порт
Как это сделать - ума не приложу. Гуру MikroTik-а, помогите!
Как направить трафик через OVPN-туннель
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Теория:
1) создать адрес-лист и поместить туда то, что будем потом заворачивать. Айпи адреса, название узлов
2) данные из адрес-листа нам нужно про-маркировать (пометить)
3) потом уже про-маркированный трафик отсылаем (заруливаем) туда (в тот канал), куда надо нам.
3.1) в Вашем случаи я не понял, Вы с дачи всё загоняете в ВПН или только нужное?
3.1.1) если всё, то тогда 1-3 пункты делать уже надо на домашнем микротике
3.1.2) если не всё, тогда надо делать это на дачном микротике, и явно направлять про-маркированное
в ВПН, но и возможно и на домашнем возможно роутере надо будет проверить, уходит как надо?
4) так как пакеты с дачи (про-маркированные) придут уже от той сети (от IP-адресации дачи), не забыть:
4.1) их прописать на файрволе домашнего микротика (чтобы случайно он их не заблокировал)
4.2) также их НАТИТЬ для ухода наружу, то есть позволить другой сети работать через НАТ дом.микротика.
1) создать адрес-лист и поместить туда то, что будем потом заворачивать. Айпи адреса, название узлов
2) данные из адрес-листа нам нужно про-маркировать (пометить)
3) потом уже про-маркированный трафик отсылаем (заруливаем) туда (в тот канал), куда надо нам.
3.1) в Вашем случаи я не понял, Вы с дачи всё загоняете в ВПН или только нужное?
3.1.1) если всё, то тогда 1-3 пункты делать уже надо на домашнем микротике
3.1.2) если не всё, тогда надо делать это на дачном микротике, и явно направлять про-маркированное
в ВПН, но и возможно и на домашнем возможно роутере надо будет проверить, уходит как надо?
4) так как пакеты с дачи (про-маркированные) придут уже от той сети (от IP-адресации дачи), не забыть:
4.1) их прописать на файрволе домашнего микротика (чтобы случайно он их не заблокировал)
4.2) также их НАТИТЬ для ухода наружу, то есть позволить другой сети работать через НАТ дом.микротика.
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Слишком сложно все ...
Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.
Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)
Всё.
Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.
Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)
Всё.
-
- Сообщения: 9
- Зарегистрирован: 09 фев 2018, 22:11
Так я же написал что так не получается, попробовал смаршрутизировать вот таким образом:enzain писал(а): ↑10 фев 2018, 15:33 Слишком сложно все ...
Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.
Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)
Всё.
/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
пакеты в домашнем роутере теряются...
хотел сделать с маркеровкой пакетов но что то не получилось и не понял теорию маркировки...
-
- Сообщения: 9
- Зарегистрирован: 09 фев 2018, 22:11
мне нужно завернуть трафик только Voip (77.37.128.140) больше ничего не нужно, пытался маркернуть, но теорию не доконца понял, если поможете с конкретными примерами, буду безмерно благодарен!Vlad-2 писал(а): ↑10 фев 2018, 09:25 Теория:
1) создать адрес-лист и поместить туда то, что будем потом заворачивать. Айпи адреса, название узлов
2) данные из адрес-листа нам нужно про-маркировать (пометить)
3) потом уже про-маркированный трафик отсылаем (заруливаем) туда (в тот канал), куда надо нам.
3.1) в Вашем случаи я не понял, Вы с дачи всё загоняете в ВПН или только нужное?
3.1.1) если всё, то тогда 1-3 пункты делать уже надо на домашнем микротике
3.1.2) если не всё, тогда надо делать это на дачном микротике, и явно направлять про-маркированное
в ВПН, но и возможно и на домашнем возможно роутере надо будет проверить, уходит как надо?
4) так как пакеты с дачи (про-маркированные) придут уже от той сети (от IP-адресации дачи), не забыть:
4.1) их прописать на файрволе домашнего микротика (чтобы случайно он их не заблокировал)
4.2) также их НАТИТЬ для ухода наружу, то есть позволить другой сети работать через НАТ дом.микротика.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я понял задачу, но Вы мои советы прочитали, а диалога у нас (ответного) не получилось.
На вопросы, которые я уместил в советах - Вы не ответили даже.
Я же задавал их там:
Как Вы сделали маршрутизацию, что идёт через ВПН туннель (всё или не всё)?
Второе: я описал логику и теорию, даже явно показал что надо делать.
Вы же не в разделе для начинающих, значит минимально-основное знаете,
То есть как создать адрес лист и поместить туда адрес Вашего VoIP Вы должны уметь.
В манглах мы указываем наш адрес лист, всё что внутри этого листа маркируется,
а уже в таблице маршрутизации Вы должны промакрированный трафик привязать
куда-то (а куда, это зависит от ситуации, либо в ВПН-канал, либо сразу в WAN-канал,
явно посоветовать не могу, ибо от Вас нету уточнения схемы в целом).
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
трасировка что показывает?bynext писал(а): ↑10 фев 2018, 23:25Так я же написал что так не получается, попробовал смаршрутизировать вот таким образом:enzain писал(а): ↑10 фев 2018, 15:33 Слишком сложно все ...
Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.
Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)
Всё.
/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
пакеты в домашнем роутере теряются...
хотел сделать с маркеровкой пакетов но что то не получилось и не понял теорию маркировки...
Должна показывать маршрут до сервера через ваш домашний роутер.
Значит настроено на домашнем что то не так ... маскарадинг добавили входящий овпн исходящий интернет?
-
- Сообщения: 9
- Зарегистрирован: 09 фев 2018, 22:11
Трасеровка дача:
[bynext@desc ~]$ tracepath 77.37.128.140
1?: [LOCALHOST] pmtu 1500
1: router 0.563ms
1: router 0.543ms
2: 192.168.3.1 5.866ms
3: no reply
4: no reply
5: no reply
6: no reply
^C
вот трасировка доходит до микротика домашнего и все...
Маскарадинг на домашнем роутере только в его сеть, на дачу нет маскарадинга, может из за этого? (а не пробовал, посмотрел, есть правило из адреслиста маскарад в опенВПН - трафик непроходит)
[bynext@desc ~]$ tracepath 77.37.128.140
1?: [LOCALHOST] pmtu 1500
1: router 0.563ms
1: router 0.543ms
2: 192.168.3.1 5.866ms
3: no reply
4: no reply
5: no reply
6: no reply
^C
вот трасировка доходит до микротика домашнего и все...
Маскарадинг на домашнем роутере только в его сеть, на дачу нет маскарадинга, может из за этого? (а не пробовал, посмотрел, есть правило из адреслиста маскарад в опенВПН - трафик непроходит)
Последний раз редактировалось bynext 11 фев 2018, 20:01, всего редактировалось 2 раза.
-
- Сообщения: 9
- Зарегистрирован: 09 фев 2018, 22:11
Сори, вопрос не понял, отвечаюVlad-2 писал(а): ↑11 фев 2018, 06:21 Я понял задачу, но Вы мои советы прочитали, а диалога у нас (ответного) не получилось.
На вопросы, которые я уместил в советах - Вы не ответили даже.
Я же задавал их там:
Как Вы сделали маршрутизацию, что идёт через ВПН туннель (всё или не всё)?
Второе: я описал логику и теорию, даже явно показал что надо делать.
Вы же не в разделе для начинающих, значит минимально-основное знаете,
То есть как создать адрес лист и поместить туда адрес Вашего VoIP Вы должны уметь.
В манглах мы указываем наш адрес лист, всё что внутри этого листа маркируется,
а уже в таблице маршрутизации Вы должны промакрированный трафик привязать
куда-то (а куда, это зависит от ситуации, либо в ВПН-канал, либо сразу в WAN-канал,
явно посоветовать не могу, ибо от Вас нету уточнения схемы в целом).
между дачей и домом проброшены только внутренние сетки правилом в ROUTE
/ip route
add distance=1 gateway=ovpn-tuh routing-mark=rt
add disabled=yes distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.3.1
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=rt.voip new-routing-mark=rt passthrough=yes
/ip firewall address-list
add address=0.0.0.0/8 list=BOGONS
add address=10.0.0.0/8 list=BOGONS
add address=100.64.0.0/10 list=BOGONS
add address=127.0.0.0/8 list=BOGONS
add address=169.254.0.0/16 list=BOGONS
add address=172.16.0.0/12 list=BOGONS
add address=192.0.0.0/24 list=BOGONS
add address=192.0.2.0/24 list=BOGONS
add address=192.168.0.0/16 list=BOGONS
add address=198.18.0.0/15 list=BOGONS
add address=198.51.100.0/24 list=BOGONS
add address=203.0.113.0/24 list=BOGONS
add address=224.0.0.0/3 list=BOGONS
add address=77.37.128.140 list=rt.voip
на другой противоположное правило...
кстати первой записью я пытался промаркеровать как раз трафик
добавил в адрес-лист данный айпи и в манглах его промаркировал в роутах прописал куда завернуть, результат 0...
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Маскарадинг сети дачной так же как сети роутера должен быть.
И все заработает.
Забудте о маркировке траффика, вам она не нужна, просто маскарадинг сети дачной через аут интерфейс - и все заработает