Маршрутизация трафика между LAN и несколькими VPN/провайдерами

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Lucelarius
Сообщения: 5
Зарегистрирован: 17 май 2021, 11:38

Здравствуйте.

Столкнулся с необходимостью настройки маршрутизации локальной сети с доступом в интернет и несколькими дополнительными подсетями (VPN от провайдера). Самостоятельно не смог разобраться, запутался.

Имеется локальная сеть 192.168.0.0/24 с доступом в интернет через основной шлюз 192.168.0.1.
В сеть установлен Микротик со своим адресом в данной сети - 192.168.0.22. На нем настроен бридж на портах 2-5 и подключенный компьютер имеет доступ в интернет через шлюз локальной сети - 192.168.0.1.
В данный микротик в порт ether1 подключен VPN-канал от провайдера со статическим адресом:
  • Статический IP - 10.10.10.58/30
  • Основной шлюз - 10.10.10.57/30
  • Подсеть данного VPN - 172.200.200.0/24
Настройки данного микротика на данном этапе минимальны (IP-адреса изменены от оригинальных):

Код: Выделить всё

# 2025-07-30 11:20:31 by RouterOS 7.19.4
/interface bridge
add name=Bridge_LAN port-cost-mode=short protocol-mode=none
/interface bridge port
add bridge=Bridge_LAN interface=ether2
add bridge=Bridge_LAN interface=ether3
add bridge=Bridge_LAN interface=ether4
add bridge=Bridge_LAN interface=ether5
/ip address
add address=192.168.0.22/24 interface=Bridge_LAN network=192.168.0.0
add address=10.10.10.58/30 interface=ether1 network=10.10.10.56
/ip route
add disabled=no distance=1 dst-address=172.200.200.0/24 gateway=\
    10.10.10.57 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
На этих настройках пинги с микротика до адресов подсети VPN проходят, но вот с маршрутизацией для других участников локальной сети или напрямую подключенного ПК возникли проблемы. В будущем будет добавлен еще один VPN-канал, но пока нужна помощь разобраться с маршрутизацией хотя-бы с одним.
Заранее благодарю за помощь.


Вернуться к началу
karton
Сообщения: 110
Зарегистрирован: 21 мар 2025, 06:34

Вам бы следовало на шлюзе 192.168.0.1 написать маршрут: к сети 172.200.200.0/24 идти через 192.168.0.22 (такое есть даже во всяких домашних роутерах, только поискать нужно). Тогда пакеты сначала из узлов попадут в 192.168.0.1, он их перешлёт 192.168.0.22, и оттуда пойдут уже в впн подсеть. Если нет возможности в той подсети которая за впн написать маршруты до 192.168.0.0/24 то нужно сделать src-nat в сторону впн.
Или наоборот через DHCP всем узлам поставить шлюз микротик, а оттуда рулить либо в 192.168.0.1 либо в туннель.


Вернуться к началу
Lucelarius
Сообщения: 5
Зарегистрирован: 17 май 2021, 11:38

В данном случае необходимо чтоб весь интернет трафик шел через основной шлюз локальной сети, и только определенный уходил в сторону VPN-канала. Физически линия с VPN подключена на 1й порт к этому микротику, позже будет также добавлен еще один VPN-канал там же.
В частности, доступ к VPN нужен только компьютеру который подключен к данному микротику.


Вернуться к началу
karton
Сообщения: 110
Зарегистрирован: 21 мар 2025, 06:34

Может вам статически на узле адрес и шлюз написать, если только ему нужно? Тогда и без настроек 0.1 можно обойтись. На пк шлюз указываем микротик (0.22), далее на микротике пишем маршрут что 172.200.200.0/24 через 10.10.10.57 (у вас он уже есть), а 0.0.0.0/0 через 192.168.0.1 (думаю напишите по примеру как уже сделали). Как ранее написал при необходимости делаем nat masquerade на интерфейс ether1, в интернете легко найти как его написать


Вернуться к началу
Lucelarius
Сообщения: 5
Зарегистрирован: 17 май 2021, 11:38

На текущий момент вопрос решил: В NAT добавил masquerade на нужный интерфейс и все заработало.
Пока не знаю на сколько правильно и как будет работать, но там уже надеюсь разберусь.
Спасибо за советы :-):


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»