Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте!
В Mikrotik есть два PPPoE канала в интернет: Основной -- для выхода сотрудников в интернет, и дополнительный --
для подключения удаленных объектов с видеонаблюдением по VPN.
При попытке VPN клиента подключиться на дополнительный канал роутер естественно отправляет ответ через основной интернет. Для тех объектов, где есть постоянный IP, решил указанием маршрута на этот удалённый IP. Но есть объекты, где постоянного IP просто быть не может... Как решить?
Смутно припоминаю, что вроде masquerade может помочь... Но как именно?
Подскажите пожалуйста: как правильно настроить?

Маскарад тут естественно не поможет.
Тип VPN какой?

В принципе любой микротиковый, который может без белого АйПи с обеих сторон работать - почти на всех объектах Микротики стоят.
Сейчас PPtP и L2TP используется

Ну в общем смотрите, есть исчезающе маленький шанс, что изначально ответные пакеты микротиковский впн-сервер создает с того адреса, на который к нему ломятся, и маскарадится уже потом.
Тогда все сводится к созданию отдельной таблицы маршрутизации с дефолтным маршрутом через нужного провайдера, и одного ip route rule правила lookup-only-in-table для данного адреса в качестве источника и этой таблицы.

Но скорее всего по полной программе - помечать в mangle prerouting входящие соединения, исключать их из fasttrack’а, и ответные пакеты отправлять по этой таблице.
(Правило в route rule при этом лишним не будет, на случай исходящих соединений).

xvo писал(а): ↑13 дек 2022, 18:49 Ну в общем смотрите, есть исчезающе маленький шанс, что изначально ответные пакеты микротиковский впн-сервер создает с того адреса, на который к нему ломятся, и маскарадится уже потом.

По-настоящему кажется понял только эту фразу, остальное в тумане ;-)
Но мысль такая: правило НАТ стоит только одно - Out interface list = WAN
Так тогда может просто создать отдельный НАТ для каждого интернета, и все дела?

В принципе сейчас все работает - просто добавил маршруты на Айпи клиента с маской /24, ну так, от балды. Можно напрячься и найти даже диапазоны провайдеров, а это LTE...

Но тут могут выскочить проблемы у мобильных клиентов, которые к основному интернету подключаются по OpenVPN через проброс портов на сервер внутри сети...
Короче, задавая вопрос, я надеялся что существует простая и удобная "Волшебная кнопка" на этот случай, о которой я не знал или забыл.... Но кажется такой кнопки нет? ;-)

Rednaxel писал(а): ↑13 дек 2022, 19:07

xvo писал(а): ↑13 дек 2022, 18:49 Ну в общем смотрите, есть исчезающе маленький шанс, что изначально ответные пакеты микротиковский впн-сервер создает с того адреса, на который к нему ломятся, и маскарадится уже потом.

По-настоящему кажется понял только эту фразу, остальное в тумане ;-)
Но мысль такая: правило НАТ стоит только одно - Out interface list = WAN
Так тогда может просто создать отдельный НАТ для каждого интернета, и все дела?

Вот у меня мысль ломится "А для чего мне вообще НАТ на дополнительном интернете?". Исходящих изнутри сети на него не полагается, он только для ВПН. Если просто его исключить из этого маскарада, будет оно работать? Собственно что ему за проблема ответить с того же адреса, на который к нему ломятся? Или я что-то не так понимаю?

Вы те мысли, которые к вам ломятся, вы их гоните сразу :)
И хотя так то NAT вам на этом интерфейсе действительно без особой надобности, но он тут вообще ни при чем.

Ищите любой мануал по dual WAN c балансировкой и используйте оттуда те блоки, которые отвечают за разметку входящего трафика, и за цепочку output.
Только в вашем случае можно размечать только для второстепенного провайдера.

xvo писал(а): ↑13 дек 2022, 19:46 Вы те мысли, которые к вам ломятся, вы их гоните сразу :)

До того, как мне пришла в голову другая светлая мысль - разжаловать Keenetic, который отвечал за основной канал, в точки доступа , и перенести основной канал в более молодой и шустрый MikroTik, заодно с перекладкой проводов.
В Keenetic стояли маршруты на нужные ВПН в Микроте, и все нормально работало без таких "заговоров микросхем".
Цель, кроме скорости, была еще повысить отказоустойчивость системы, т.к. RB4011iGS+ есть запасной, можно оперативно бэкапить и восстанавливать конфигурацию, ну и управлять в одном месте всем трафиком удобнее.

И где Вы раньше были со своим советом?

А если серьёзно, прежде чем потратить минимум день на выкуривание мануалов по DualWAN, могу я попросить совета:
"Это было правильное решение, или лучше все вернуть взад?".

P.S. В принципе изучить вопрос, оно безусловно полезно для роста,. главное чтобы толк из этого вышел.

Не нужно ничего возвращать, тем более взад.
Надо единожды настроить, и потом оно будет работать незаметно, прозрачно и бесперебойно.