Страница 1 из 2
Как направить трафик через OVPN-туннель
Добавлено: 09 фев 2018, 22:20
bynext
Доброго времени суток, уважаемые!
Дома у меня интернет и телефон от ОнЛайма. На даче интернет от другого провайдера. Дома и на даче стоят роутеры MikroTik, между ними поднят OVPN. На даче стоит IP-телефон. У ОнЛайма имеется SIP-сервер tel2.moscow.rt.ru. Он доступен из сети ОнЛайма, но не доступен из сети других провайдеров.
Теперь к сути. Необходимо завернуть трафик, идущий с дачи на SIP-сервер tel2.moscow.rt.ru в VPN-туннель, чтобы таки достучаться до SIP-сервера.
сеть микротик дом 192.168.0.1/24 (vpn ip 192.168.3.1)
сеть микротик дача 192.168.1.1/24 (vpn ip 192.168.3.50)
ip voip сервера доступного только на микротике дом tel2.moscow.rt.ru (77.37.128.140)
/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
Пытался смаршрутизировать правилом в route ничего не вышло пакеты теряются в домашнем микротике и не как не идут в wan порт
Как это сделать - ума не приложу. Гуру MikroTik-а, помогите!
Re: Как направить трафик через OVPN-туннель
Добавлено: 10 фев 2018, 09:25
Vlad-2
Теория:
1) создать адрес-лист и поместить туда то, что будем потом заворачивать. Айпи адреса, название узлов
2) данные из адрес-листа нам нужно про-маркировать (пометить)
3) потом уже про-маркированный трафик отсылаем (заруливаем) туда (в тот канал), куда надо нам.
3.1) в Вашем случаи я не понял, Вы с дачи всё загоняете в ВПН или только нужное?
3.1.1) если всё, то тогда 1-3 пункты делать уже надо на домашнем микротике
3.1.2) если не всё, тогда надо делать это на дачном микротике, и явно направлять про-маркированное
в ВПН, но и возможно и на домашнем возможно роутере надо будет проверить, уходит как надо?
4) так как пакеты с дачи (про-маркированные) придут уже от той сети (от IP-адресации дачи), не забыть:
4.1) их прописать на файрволе домашнего микротика (чтобы случайно он их не заблокировал)
4.2) также их НАТИТЬ для ухода наружу, то есть позволить другой сети работать через НАТ дом.микротика.
Re: Как направить трафик через OVPN-туннель
Добавлено: 10 фев 2018, 15:33
enzain
Слишком сложно все ...
Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.
Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)
Всё.
Re: Как направить трафик через OVPN-туннель
Добавлено: 10 фев 2018, 23:25
bynext
enzain писал(а): ↑10 фев 2018, 15:33
Слишком сложно все ...
Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.
Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)
Всё.
Так я же написал что так не получается, попробовал смаршрутизировать вот таким образом:
/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
пакеты в домашнем роутере теряются...
хотел сделать с маркеровкой пакетов но что то не получилось и не понял теорию маркировки...
Re: Как направить трафик через OVPN-туннель
Добавлено: 10 фев 2018, 23:29
bynext
Vlad-2 писал(а): ↑10 фев 2018, 09:25
Теория:
1) создать адрес-лист и поместить туда то, что будем потом заворачивать. Айпи адреса, название узлов
2) данные из адрес-листа нам нужно про-маркировать (пометить)
3) потом уже про-маркированный трафик отсылаем (заруливаем) туда (в тот канал), куда надо нам.
3.1) в Вашем случаи я не понял, Вы с дачи всё загоняете в ВПН или только нужное?
3.1.1) если всё, то тогда 1-3 пункты делать уже надо на домашнем микротике
3.1.2) если не всё, тогда надо делать это на дачном микротике, и явно направлять про-маркированное
в ВПН, но и возможно и на домашнем возможно роутере надо будет проверить, уходит как надо?
4) так как пакеты с дачи (про-маркированные) придут уже от той сети (от IP-адресации дачи), не забыть:
4.1) их прописать на файрволе домашнего микротика (чтобы случайно он их не заблокировал)
4.2) также их НАТИТЬ для ухода наружу, то есть позволить другой сети работать через НАТ дом.микротика.
мне нужно завернуть трафик только Voip (77.37.128.140) больше ничего не нужно, пытался маркернуть, но теорию не доконца понял, если поможете с конкретными примерами, буду безмерно благодарен!
Re: Как направить трафик через OVPN-туннель
Добавлено: 11 фев 2018, 06:21
Vlad-2
bynext писал(а): ↑10 фев 2018, 23:29
мне нужно завернуть трафик только Voip (77.37.128.140) больше ничего не нужно, пытался маркернуть, но теорию не доконца понял, если поможете с конкретными примерами, буду безмерно благодарен!
Я понял задачу, но Вы мои советы прочитали, а диалога у нас (ответного) не получилось.
На вопросы, которые я уместил в советах - Вы не ответили даже.
Я же задавал их там:
Как Вы сделали маршрутизацию, что идёт через ВПН туннель (всё или не всё)?
Второе: я описал логику и теорию, даже явно показал что надо делать.
Вы же не в разделе для начинающих, значит минимально-основное знаете,
То есть как создать адрес лист и поместить туда адрес Вашего VoIP Вы должны уметь.
В манглах мы указываем наш адрес лист, всё что внутри этого листа маркируется,
а уже в таблице маршрутизации Вы должны промакрированный трафик привязать
куда-то (а куда, это зависит от ситуации, либо в ВПН-канал, либо сразу в WAN-канал,
явно посоветовать не могу, ибо от Вас нету уточнения схемы в целом).
Re: Как направить трафик через OVPN-туннель
Добавлено: 11 фев 2018, 12:52
enzain
bynext писал(а): ↑10 фев 2018, 23:25
enzain писал(а): ↑10 фев 2018, 15:33
Слишком сложно все ...
Надо просто адрес на роутере, что на даче, поместить в таблицу маршрутизации и указать ей шлюзом интерфейс OVPN
Естественно на домашнем роутере должен быть маршрут в сеть за роутером дачным.
Ну и нат на интерфейс провайдера скорее всего и так прописан, дополнительно не надо ничего делать будет .... (проверить конечно не помешает)
Всё.
Так я же написал что так не получается, попробовал смаршрутизировать вот таким образом:
/ip route
дом add distance=1 dst-address=77.37.128.140/32 gateway=109.173.96.1
дача add distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
пакеты в домашнем роутере теряются...
хотел сделать с маркеровкой пакетов но что то не получилось и не понял теорию маркировки...
трасировка что показывает?
Должна показывать маршрут до сервера через ваш домашний роутер.
Значит настроено на домашнем что то не так ... маскарадинг добавили входящий овпн исходящий интернет?
Re: Как направить трафик через OVPN-туннель
Добавлено: 11 фев 2018, 19:45
bynext
Трасеровка дача:
[bynext@desc ~]$ tracepath 77.37.128.140
1?: [LOCALHOST] pmtu 1500
1: router 0.563ms
1: router 0.543ms
2: 192.168.3.1 5.866ms
3: no reply
4: no reply
5: no reply
6: no reply
^C
вот трасировка доходит до микротика домашнего и все...
Маскарадинг на домашнем роутере только в его сеть, на дачу нет маскарадинга, может из за этого? (а не пробовал, посмотрел, есть правило из адреслиста маскарад в опенВПН - трафик непроходит)
Re: Как направить трафик через OVPN-туннель
Добавлено: 11 фев 2018, 19:55
bynext
Vlad-2 писал(а): ↑11 фев 2018, 06:21
Я понял задачу, но Вы мои советы прочитали, а диалога у нас (ответного) не получилось.
На вопросы, которые я уместил в советах - Вы не ответили даже.
Я же задавал их там:
Как Вы сделали маршрутизацию, что идёт через ВПН туннель (всё или не всё)?
Второе: я описал логику и теорию, даже явно показал что надо делать.
Вы же не в разделе для начинающих, значит минимально-основное знаете,
То есть как создать адрес лист и поместить туда адрес Вашего VoIP Вы должны уметь.
В манглах мы указываем наш адрес лист, всё что внутри этого листа маркируется,
а уже в таблице маршрутизации Вы должны промакрированный трафик привязать
куда-то (а куда, это зависит от ситуации, либо в ВПН-канал, либо сразу в WAN-канал,
явно посоветовать не могу, ибо от Вас нету уточнения схемы в целом).
Сори, вопрос не понял, отвечаю
между дачей и домом проброшены только внутренние сетки правилом в ROUTE
/ip route
add distance=1 gateway=ovpn-tuh routing-mark=rt
add disabled=yes distance=1 dst-address=77.37.128.140/32 gateway=192.168.3.1
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.3.1
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=rt.voip new-routing-mark=rt passthrough=yes
/ip firewall address-list
add address=0.0.0.0/8 list=BOGONS
add address=10.0.0.0/8 list=BOGONS
add address=100.64.0.0/10 list=BOGONS
add address=127.0.0.0/8 list=BOGONS
add address=169.254.0.0/16 list=BOGONS
add address=172.16.0.0/12 list=BOGONS
add address=192.0.0.0/24 list=BOGONS
add address=192.0.2.0/24 list=BOGONS
add address=192.168.0.0/16 list=BOGONS
add address=198.18.0.0/15 list=BOGONS
add address=198.51.100.0/24 list=BOGONS
add address=203.0.113.0/24 list=BOGONS
add address=224.0.0.0/3 list=BOGONS
add address=77.37.128.140 list=rt.voip
на другой противоположное правило...
кстати первой записью я пытался промаркеровать как раз трафик
добавил в адрес-лист данный айпи и в манглах его промаркировал в роутах прописал куда завернуть, результат 0...
Re: Как направить трафик через OVPN-туннель
Добавлено: 11 фев 2018, 20:09
enzain
bynext писал(а): ↑11 фев 2018, 19:45
Маскарадинг на домашнем роутере только в его сеть, на дачу нет маскарадинга, может из за этого?
Маскарадинг сети дачной так же как сети роутера должен быть.
И все заработает.
Забудте о маркировке траффика, вам она не нужна, просто маскарадинг сети дачной через аут интерфейс - и все заработает