Роутинг vpn на дополнительный gateway.

Обсуждение ПО и его настройки
retom
Сообщения: 84
Зарегистрирован: 14 дек 2017, 06:52

Для того что бы не разгрузить микротик, хочу поставить дополнительный роутер на openwrt которые бы поддерживал VPN

У меня роутер стоит по адресу *.1, а на *.3 стоит openwrt роутер без wan
с одним eth и поднятым исходящим vpn wireguard (интернет через .1).

Для компьтера в сети *.35 весь трафик помечается как vpn и есть статический
роутинг для vpn где в качестве gateway указан .3

Если сделать ping или traceroute c *.35 на любой адрес, то все работает, причем traceroute такой .1 .3 .... Но сайты при это не открываются.

Если же я проишу на .35 default gateway как .3 (вместо .1)
То у меня все работает, и сайты открываются и пингуется.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вынесите порт в сторону второго роутера в отдельную сеть (так чтобы у вас там был только он и микрот).

А то сейчас у вас треугольник получается - в одну сторону пакеты идут через микрот, а обратно - напрямую. Микротиковский firewall такое не любит, и сбрасывает tcp.


Telegram: @thexvo
retom
Сообщения: 84
Зарегистрирован: 14 дек 2017, 06:52

xvo писал(а): 24 ноя 2022, 19:08 Вынесите порт в сторону второго роутера в отдельную сеть (так чтобы у вас там был только он и микрот).
Сори, туплю, не понял эту часть.
Надо роутер с openwrt перенести в другую подсетку?

к примеру:
микротик: *.1.1 и *.2.1
openwrt: *.2.2
комп: *.1.3

тогда gateway для маркированного трафика для 1.3 микротике должен быть *.2.1?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Да.
Вынести один порт из бриджа, и на нем еще одну сеть.


Telegram: @thexvo
retom
Сообщения: 84
Зарегистрирован: 14 дек 2017, 06:52

xvo писал(а): 25 ноя 2022, 08:09 Да.
Вынести один порт из бриджа, и на нем еще одну сеть.
Не получается, у меня openwrt стоит на виртуалке на одном из серваков :)

ЗЫ Какую скорость можно получить по wireguard на RB750Gr3
Может я зря затеял выделенный сервак для ВПН?
ЗЫ2 Еще бы не зависал входящий ВПН на микротике


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

retom писал(а): 25 ноя 2022, 17:26 ЗЫ Какую скорость можно получить по wireguard на RB750Gr3
130-150мбит


Telegram: @thexvo
retom
Сообщения: 84
Зарегистрирован: 14 дек 2017, 06:52

Нашел я железку с openwrt и wireguard на борту. Освободил один порт на микротике.
Есть пара вопросов:
к примеру вся сетка у меня живет на 192.168.1.*

На openwrt поднимаю wireguard сервер, с адресами 192.168.3.1, пробрасываю порт с 1.1 на openwrt
Нужно ли мне железяку с openwrt надо выносить в отдельную подсетку типа 192.168.2.* или же я ее могу просто оставить как 192.168.1.2?

все src ip адреса которые надо отправить в vpn я помещают в адрес лист. Как у меня должен выглядеть роутинг в 1.1?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Лучше в отдельную.
Иначе могут быть непонятки со стороны firewall'а на основном роутере.

Все как обычно:
Отдельная таблица с дефолтным маршрутом в туннель.
Mangle - mark-connection для ваших src-address.
Потом mark-routing исходящих пакетов этих соединений вот в эту новую таблицу.
И исключения на fasttrack для помеченного трафика.


Telegram: @thexvo
retom
Сообщения: 84
Зарегистрирован: 14 дек 2017, 06:52

Ок, спасибо на выходных попробую.
По fasttrack, что будет если не добавить исключения для fasttrack?
у меня ка кто не сильно влияет на производительность включенный или выключенный fasttrack. Средняя загрузка процессора в районе 10-20%
Он получается стоит у меня в самом конце таблицы filter rules, его надо перенести на верх?
Последний раз редактировалось retom 20 дек 2022, 18:27, всего редактировалось 2 раза.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если соединение пометится для fasttrack, то никакой mangle для него работать уже не будет.
Лучше конечно в начало поднять, но не сильно принципиально, если конечно оно работает.
Главное чтобы оно было выше такого же правила на established,related но с action=accept


Telegram: @thexvo
Ответить