Добрый день!
Господа, понимаю, что тема избитая, но сам додуматься до решения не могу.
В офисе микротик, в него приходит интернет, на нем поднят клиент openvpn до хетзнера в Германии.
Подсети друг друга видят, и видят устройства в этих подсетях.
Как мне перенаправить определенный трафик на клиент овпн?
Условно, мне нужен доступ к сайту 123.ру. В IP-Firewall-Layer 7 Protocols я добавил новый протокол - ^.+(123.ру).*\$
В IP-Mangle я делал правило прероутинга, добавил туда вышесозданный протокол и поставил действием Mark Routing
После, я создаю правило в IP-Routes
Проверяю через Tool-Traceroute - пакеты на 123.ру продолжают идти через шлюз по-умолчанию.
Перенаправление трафика в другой шлюз
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Ищите темы про обход блокировок
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
В ip firewall mangle
В ip route
Код: Выделить всё
add action=mark-routing chain=prerouting dst-address-list=<Address List с перечнем нужных сайтов> new-routing-mark=<Маркер> passthrough=yes
Код: Выделить всё
add distance=1 gateway=<IP шлюза OVPN> routing-mark=<Маркер>
-
- Сообщения: 11
- Зарегистрирован: 09 дек 2021, 14:17
Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.Inner писал(а): ↑09 дек 2021, 16:22 В ip firewall mangleВ ip routeКод: Выделить всё
add action=mark-routing chain=prerouting dst-address-list=<Address List с перечнем нужных сайтов> new-routing-mark=<Маркер> passthrough=yes
Код: Выделить всё
add distance=1 gateway=<IP шлюза OVPN> routing-mark=<Маркер>
-
- Сообщения: 11
- Зарегистрирован: 09 дек 2021, 14:17
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
В адреслист можно указать конкретные домены. Судя по Вашим действиям, Вы сделали тоже самое что и с адреслистом, но только с L7. Суть таже. А L7 достаточно не простая вещь. Высокая нагрузка на роутер + сложность синтаксиса. Если не работает, значит неправильно написали правило в L7.
Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.
-
- Сообщения: 11
- Зарегистрирован: 09 дек 2021, 14:17
Сделал все через адресные листы, на примере vk.comInner писал(а): ↑09 дек 2021, 21:06В адреслист можно указать конкретные домены. Судя по Вашим действиям, Вы сделали тоже самое что и с адреслистом, но только с L7. Суть таже. А L7 достаточно не простая вещь. Высокая нагрузка на роутер + сложность синтаксиса. Если не работает, значит неправильно написали правило в L7.
Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Приложите кусочек Вашей конфигурации. Интересуют конкретно пункты Routes, Address List и Mangle. Если Ещё и укажите внутренние ip VPN туннеля с пояснением где и какой будет просто супер.Сделал все через адресные листы, на примере vk.com
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.
-
- Сообщения: 11
- Зарегистрирован: 09 дек 2021, 14:17
192.168.1.1 - ovpn serverInner писал(а): ↑10 дек 2021, 12:09Приложите кусочек Вашей конфигурации. Интересуют конкретно пункты Routes, Address List и Mangle. Если Ещё и укажите внутренние ip VPN туннеля с пояснением где и какой будет просто супер.Сделал все через адресные листы, на примере vk.com
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.
192.168.1.3 - ovpn mikrotik client
/ip route
add distance=1 gateway=192.168.1.1 routing-mark=vk
add distance=1 gateway=xx.xx.4.1
add distance=1 dst-address=xx.xx.0.0/16 gateway=10.10.4.
/ip firewall address-list
add address=vk.com list=vk
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vk new-routing-mark=vk passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Немного смущает этот пункт. Маскарад идёт на два физических порта. На порт OVPN его нет. Но возможно так и должно быть в виду остальной конфигурации. Видятли клиенты за микротик ip сервера OVPN? И видитли сам сервер OVPN клиентов за микротиком? Попробуйте указать вместо ip адреса OVPN сам интерфейс клиента OVPN./ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2