VPN для определённого IP

[ddn]

Тупой вопрос для многих, знаю. Но всё же, подскажите, пожалуйста, после того как я пропишу на роутере VPN подключении, как сделать что бы через этот VPN выходил только 1 IP из ЛС?

Нашел вот это

Код: Выделить всё

/ip route add src-address=192.168.0.100 gateway="hideme-vpn"

где dst-address=192.168.0.100 - ваша адрес локальной сети ВПН, а gateway="hideme-vpn" - ВПН подключение.

Но кажется это совсем не то. Рабочий gateway у меня только 192.168.1.0/24 ether1 reacheble (если я правильно смотрю в Route List) а инструкция VPN сервиса не предполагает создание gateway.


Так же в инструкций по созданию VPN есть пункт

5. Mark ALL traffic that you want to route through VPN server

Код: Выделить всё

/ip firewall address-list add address=192.168.88.0/24 list=under_protonvpn
/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=under_protonvpn new-connection-mark=under_protonvpn passthrough=yes

Может это они и есть, просто указываю вместо 192.168.88.0/24 нужный локальный IP?

Mikrotik RB951Ui-2HnD 6.49.4

[svetogor82]

про мартируйте трафик
и заваривайте его в vpn туннель

[universe5ht]

Добрый день!

У меня такая же проблема и не не получается добиться нормально работы.

192.168.88.206 - комп который нужно выпустить через ВПН

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=VPN passthrough=yes src-address=192.168.88.206

/routing table
add disabled=no fib name=VPN

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=VPS_IHOR pref-src=0.0.0.0 routing-table=VPN scope=30 suppress-hw-offload=no target-scope=10

Посоветуйте, что нужно исправить?

[KaNelam]

Добрый день!

У меня такая же проблема и не не получается добиться нормально работы.

192.168.88.206 - комп который нужно выпустить через ВПН

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=VPN passthrough=yes src-address=192.168.88.206

/routing table
add disabled=no fib name=VPN

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=VPS_IHOR pref-src=0.0.0.0 routing-table=VPN scope=30 suppress-hw-offload=no target-scope=10

Посоветуйте, что нужно исправить?

nat настроить в впн

[hardrockbaby]

Посоветуйте, что нужно исправить?

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=VPN passthrough=yes src-address=192.168.88.206
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=VPS_IHOR routing-mark=VPN
/ip firewall nat add action=masquerade chain=srcnat out-interface=VPS_IHOR routing-mark=VPN

И не забыть отключить Fasttrack

[universe5ht]

оооо, спасибо! Не работало изза fasttrack

[ddn]

Товарищи, правильно я понимаю, настраиваю VPN, в консоли прописываю

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=VPN passthrough=yes src-address=192.168.88.206
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=VPS_IHOR routing-mark=VPN
/ip firewall nat add action=masquerade chain=srcnat out-interface=VPS_IHOR routing-mark=VPN

где gateway и out-interface название vpn и после этого только ip 192.168.88.206 будет работать через vpn?

А как правильно отключить Fasttrack?

Посоветуйте, что нужно исправить?

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=VPN passthrough=yes src-address=192.168.88.206
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=VPS_IHOR routing-mark=VPN
/ip firewall nat add action=masquerade chain=srcnat out-interface=VPS_IHOR routing-mark=VPN

И не забыть отключить Fasttrack

Спасибо за помощь!

[hardrockbaby]

где gateway и out-interface название vpn и после этого только ip 192.168.88.206 будет работать через vpn?

Да. Также можно сделать address list для множества ip-адресов и указать его в правиле как dst-address-list

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=ToVpn \
    new-routing-mark=VPN passthrough=no

А как правильно отключить Fasttrack?

На слабых железках лучше полностью не отказываться от fasttrack
Топорное решение - отключить правила fasttrack connection в списке правил фаерволла. (IP → Firewall → Filter rules)

Но лучше ознакомиться со статьёй ↓ и настроить Fasttrack на тех интерфейсах, где он действительно необходим, т.е. исключая VPN.
Правильное использование Fast Path и FastTrack в Mikrotik

[ddn]

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=VPN passthrough=yes src-address=192.168.88.206
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=VPS_IHOR routing-mark=VPN
/ip firewall nat add action=masquerade chain=srcnat out-interface=VPS_IHOR routing-mark=VPN

Спасибо за совет, но не получается ((. Дело в точ что я первый раз в жизни такую настройку делаю. А в gateway что именно надо указать? Название подключения по которому в роутер заходит интернет?

У меня заходит кабель от другого роутера в eth1, те получается ether1 надо указать?

А в srcnat out-interface указываю pvpn (этот пункт создавался по инструкции vpn провайдера). Впн KEv2, были созданы записи в разделах Profiles, Proposals, Groups, Policies, Identities, Address Lists, Mode Configs.

[hardrockbaby]

Спасибо за совет, но не получается.
...
Впн IKEv2, были созданы записи в разделах Profiles, Proposals, Groups, Policies, Identities, Address Lists, Mode Configs.

Тот пример больше подходит под openvpn.
С IKEv2/IPSec дело обстоит по-другому, смотрите 15 шаг здесь