Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте.

Столкнулся с необходимостью настройки маршрутизации локальной сети с доступом в интернет и несколькими дополнительными подсетями (VPN от провайдера). Самостоятельно не смог разобраться, запутался.

Имеется локальная сеть 192.168.0.0/24 с доступом в интернет через основной шлюз 192.168.0.1.
В сеть установлен Микротик со своим адресом в данной сети - 192.168.0.22. На нем настроен бридж на портах 2-5 и подключенный компьютер имеет доступ в интернет через шлюз локальной сети - 192.168.0.1.
В данный микротик в порт ether1 подключен VPN-канал от провайдера со статическим адресом:

Статический IP - 10.10.10.58/30

Основной шлюз - 10.10.10.57/30

Подсеть данного VPN - 172.200.200.0/24

Настройки данного микротика на данном этапе минимальны (IP-адреса изменены от оригинальных):

Код: Выделить всё

# 2025-07-30 11:20:31 by RouterOS 7.19.4
/interface bridge
add name=Bridge_LAN port-cost-mode=short protocol-mode=none
/interface bridge port
add bridge=Bridge_LAN interface=ether2
add bridge=Bridge_LAN interface=ether3
add bridge=Bridge_LAN interface=ether4
add bridge=Bridge_LAN interface=ether5
/ip address
add address=192.168.0.22/24 interface=Bridge_LAN network=192.168.0.0
add address=10.10.10.58/30 interface=ether1 network=10.10.10.56
/ip route
add disabled=no distance=1 dst-address=172.200.200.0/24 gateway=\
    10.10.10.57 routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10

На этих настройках пинги с микротика до адресов подсети VPN проходят, но вот с маршрутизацией для других участников локальной сети или напрямую подключенного ПК возникли проблемы. В будущем будет добавлен еще один VPN-канал, но пока нужна помощь разобраться с маршрутизацией хотя-бы с одним.
Заранее благодарю за помощь.

Вам бы следовало на шлюзе 192.168.0.1 написать маршрут: к сети 172.200.200.0/24 идти через 192.168.0.22 (такое есть даже во всяких домашних роутерах, только поискать нужно). Тогда пакеты сначала из узлов попадут в 192.168.0.1, он их перешлёт 192.168.0.22, и оттуда пойдут уже в впн подсеть. Если нет возможности в той подсети которая за впн написать маршруты до 192.168.0.0/24 то нужно сделать src-nat в сторону впн.
Или наоборот через DHCP всем узлам поставить шлюз микротик, а оттуда рулить либо в 192.168.0.1 либо в туннель.

В данном случае необходимо чтоб весь интернет трафик шел через основной шлюз локальной сети, и только определенный уходил в сторону VPN-канала. Физически линия с VPN подключена на 1й порт к этому микротику, позже будет также добавлен еще один VPN-канал там же.
В частности, доступ к VPN нужен только компьютеру который подключен к данному микротику.

Может вам статически на узле адрес и шлюз написать, если только ему нужно? Тогда и без настроек 0.1 можно обойтись. На пк шлюз указываем микротик (0.22), далее на микротике пишем маршрут что 172.200.200.0/24 через 10.10.10.57 (у вас он уже есть), а 0.0.0.0/0 через 192.168.0.1 (думаю напишите по примеру как уже сделали). Как ранее написал при необходимости делаем nat masquerade на интерфейс ether1, в интернете легко найти как его написать

На текущий момент вопрос решил: В NAT добавил masquerade на нужный интерфейс и все заработало.
Пока не знаю на сколько правильно и как будет работать, но там уже надеюсь разберусь.
Спасибо за советы

Russian Users MikroTik | Форум пользователей MikroTik

Маршрутизация трафика между LAN и несколькими VPN/провайдерами

Маршрутизация трафика между LAN и несколькими VPN/провайдерами

Re: Маршрутизация трафика между LAN и несколькими VPN/провайдерами

Re: Маршрутизация трафика между LAN и несколькими VPN/провайдерами

Re: Маршрутизация трафика между LAN и несколькими VPN/провайдерами

Re: Маршрутизация трафика между LAN и несколькими VPN/провайдерами