Перенаправление трафика в другой шлюз

[Ilya Vozdvizhensky]

Добрый день!
Господа, понимаю, что тема избитая, но сам додуматься до решения не могу.
В офисе микротик, в него приходит интернет, на нем поднят клиент openvpn до хетзнера в Германии.
Подсети друг друга видят, и видят устройства в этих подсетях.
Как мне перенаправить определенный трафик на клиент овпн?
Условно, мне нужен доступ к сайту 123.ру. В IP-Firewall-Layer 7 Protocols я добавил новый протокол - ^.+(123.ру).*\$
В IP-Mangle я делал правило прероутинга, добавил туда вышесозданный протокол и поставил действием Mark Routing
После, я создаю правило в IP-Routes

Проверяю через Tool-Traceroute - пакеты на 123.ру продолжают идти через шлюз по-умолчанию.

[Ca6ko]

Ищите темы про обход блокировок

[Inner]

В ip firewall mangle

Код: Выделить всё

add action=mark-routing chain=prerouting dst-address-list=<Address List с перечнем нужных сайтов> new-routing-mark=<Маркер> passthrough=yes

В ip route

Код: Выделить всё

add distance=1 gateway=<IP шлюза OVPN> routing-mark=<Маркер>

[Ilya Vozdvizhensky]

В ip firewall mangle

Код: Выделить всё

add action=mark-routing chain=prerouting dst-address-list=<Address List с перечнем нужных сайтов> new-routing-mark=<Маркер> passthrough=yes

В ip route

Код: Выделить всё

add distance=1 gateway=<IP шлюза OVPN> routing-mark=<Маркер>

Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.

[Ilya Vozdvizhensky]

Ищите темы про обход блокировок

Не могли бы кинуть ссылочку.
Тем не менее, кажется странно, это же перенаправление трафика, не обязательно же обход блокировок)

[Inner]

Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.

В адреслист можно указать конкретные домены. Судя по Вашим действиям, Вы сделали тоже самое что и с адреслистом, но только с L7. Суть таже. А L7 достаточно не простая вещь. Высокая нагрузка на роутер + сложность синтаксиса. Если не работает, значит неправильно написали правило в L7.

[Ilya Vozdvizhensky]

Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.

В адреслист можно указать конкретные домены. Судя по Вашим действиям, Вы сделали тоже самое что и с адреслистом, но только с L7. Суть таже. А L7 достаточно не простая вещь. Высокая нагрузка на роутер + сложность синтаксиса. Если не работает, значит неправильно написали правило в L7.

Сделал все через адресные листы, на примере vk.com
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.

[Inner]

Сделал все через адресные листы, на примере vk.com
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.

Приложите кусочек Вашей конфигурации. Интересуют конкретно пункты Routes, Address List и Mangle. Если Ещё и укажите внутренние ip VPN туннеля с пояснением где и какой будет просто супер.

[Ilya Vozdvizhensky]

Сделал все через адресные листы, на примере vk.com
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.

Приложите кусочек Вашей конфигурации. Интересуют конкретно пункты Routes, Address List и Mangle. Если Ещё и укажите внутренние ip VPN туннеля с пояснением где и какой будет просто супер.

192.168.1.1 - ovpn server
192.168.1.3 - ovpn mikrotik client

/ip route
add distance=1 gateway=192.168.1.1 routing-mark=vk
add distance=1 gateway=xx.xx.4.1
add distance=1 dst-address=xx.xx.0.0/16 gateway=10.10.4.

/ip firewall address-list
add address=vk.com list=vk
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vk new-routing-mark=vk passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2

[Inner]

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2

Немного смущает этот пункт. Маскарад идёт на два физических порта. На порт OVPN его нет. Но возможно так и должно быть в виду остальной конфигурации. Видятли клиенты за микротик ip сервера OVPN? И видитли сам сервер OVPN клиентов за микротиком? Попробуйте указать вместо ip адреса OVPN сам интерфейс клиента OVPN.