Страница 1 из 2
Выход определенных ip адресов в интернет через туннель
Добавлено: 22 май 2019, 23:17
Xsyava
Здравствуйте!
Помогите, пожалуйста, решить следующую задачу.
Имеются два волшебных роутера микротик. Есть две сети с выходом в интернет:
1-я - 192.168.0.0/24 эта сеть имеет белый ip
2-я - 192.168.8.0/24 имеет серый ip
между ними поднят VPN туннель по PPTP (vpn сеть 192.168.5.1-192.168.5.2). компьютеры из 1-ой и 2-ой сети видят друг друга.
Теперь появилась задача, чтобы конкретные компьютеры со 2-й сети (192.168.8.101-192.168.8.110) ходили в интернет через vpn и соответственно белый ip 1-ой сети, остальные же компьютеры 2-ой сети продолжали выходить в интернет через свой серый ip.
Как это правильно это реализовать?
Заранее спасибо.
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 23 май 2019, 08:42
gmx
Все просто.
Создаете два листа в Address list с нужными IP.
Создаете два правила маркировки prerouting для этих листов.
В IP-routes нужные маршруты ограничиваете по нужной маркировке.
А так все это уже давно описано
viewtopic.php?p=31356#p31356
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 23 май 2019, 09:16
Xsyava
Спасибо за ответ. Пока не очень понимаю что нужно сделать, но после приезда почитаю и попробую разобраться.
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 30 май 2019, 10:49
Xsyava
Вернулся, почитал. С маркировкой теперь вроде понятно. А что нужно сделать чтобы вообще компьютеры из 2-ой сети выходили в интернет через шлюз 1-ой сети (белый IP)?
У меня есть только маршруты из 1-ой локальной сети во 2-ую и наоборот для объединения их в общую локальную сеть.
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 30 май 2019, 11:41
Erik_U
Xsyava писал(а): ↑30 май 2019, 10:49
Вернулся, почитал. С маркировкой теперь вроде понятно. А что нужно сделать чтобы вообще компьютеры из 2-ой сети выходили в интернет через шлюз 1-ой сети (белый IP)?
У меня есть только маршруты из 1-ой локальной сети во 2-ую и наоборот для объединения их в общую локальную сеть.
Во 2-й сети дефолтный маршрут направить в PPPTP интерфейс (в сеть 1), и в маскарадинг микротика 1 добавить сеть 2
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 30 май 2019, 12:59
Xsyava
В моем случае дефолтный маршрут для 2-ой сети должен идти через шлюз 2-ой сети напрямую в интернет. Только для определенных ip адресов со 2-ой сети, которые я по подсказке gmx пометил и направляю в в vpn, должен быть выход через 1-ю сеть. И не совсем понимаю по поводу добавления в маскарадинг микротика 1 2-ой сети.
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 30 май 2019, 13:11
Erik_U
Вы спрашивали "А что нужно сделать чтобы вообще компьютеры из 2-ой сети выходили в интернет через шлюз 1-ой сети (белый IP)?"
Это совсем не
"В моем случае дефолтный маршрут для 2-ой сети должен идти через шлюз 2-ой сети напрямую в интернет. Только для определенных ip адресов со 2-ой сети, которые я по подсказке gmx пометил и направляю в в vpn, должен быть выход через 1-ю сеть."
Если вы их маркировали, значит в таблице маршрутизации у вас их две (таблицы). Одна Main, вторая - с именем, как вы отмаркировали.
Установите другой дефолтный маршрут для этой второй таблицы. Если вы их уже другим способом в VPN направили - ничего не добавляйте. Если пакеты из 2 сети улетают в нужном направлении - займитесь 1-й сетью.
Маскарадинг нужно настраивать. Он сделан для подсети 1. И поэтому попытки выйти через это правило из другой подсети (2) не сработает. Нужно для этой другой подсети делать свое правило маскарадинга.
Микротик 2 направляет пакеты на микротик 1, а теперь нужно, чтобы микротик 1 направил их в интернет, а не дропнул. Для этого они должны соответствовать правилу, или правило соответствовать им.
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 30 май 2019, 13:57
Xsyava
Пакеты действительно уходят. Более того с компьютера (из тех выделенных компов 2-ой сети которые должны ходить через vpn) ping проходит и видно что маршрут идет через 1-й шлюз. А браузер работать не хочет. Судя по всему это как раз из-за отсутствия маскардинга на микротике 1 про то что вы говорили. Можете, пожалуйста, привести примерную команду для настройки его?
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 30 май 2019, 14:08
Erik_U
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
У вас на микротике есть уже скорее всего подобная запись для сети 192.168.0.0/24
/ip firewall nat
add chain=srcnat src-address=192.168.0.0/24 action=masquerade out-interface=Как_называется_интерфейс
добавьте вторую для 192.168.8.0/24
add chain=srcnat src-address=192.168.8.0/24 action=masquerade out-interface=Как_называется_интерфейс
Re: Выход определенных ip адресов в интернет через туннель
Добавлено: 30 май 2019, 22:47
Xsyava
Не помогает. Да и в основном маршруте неуказано srcnat, т.е. по идее маскарадинг должен работать для любой сети в том числе и для 2-ой.
Странно то что проходят пинги.
Первый пинг это как раз из того диапазона ip адресов которые должны ходить через шлюз микротика 1. Вроде бы все нормально но интернета нет.
Второй пинг для других компьютеров из 2-ой сети которые выходят в интернет через свой 2-ой шлюз. Тут соостветственно инет есть.
А с первым беда... А не может это быть от размера пакетов? Писали что не помещалась служебная информация или что-то подобное