Страница 1 из 2
Перенаправление трафика в другой шлюз
Добавлено: 09 дек 2021, 14:42
Ilya Vozdvizhensky
Добрый день!
Господа, понимаю, что тема избитая, но сам додуматься до решения не могу.
В офисе микротик, в него приходит интернет, на нем поднят клиент openvpn до хетзнера в Германии.
Подсети друг друга видят, и видят устройства в этих подсетях.
Как мне перенаправить определенный трафик на клиент овпн?
Условно, мне нужен доступ к сайту 123.ру. В IP-Firewall-Layer 7 Protocols я добавил новый протокол - ^.+(123.ру).*\$
В IP-Mangle я делал правило прероутинга, добавил туда вышесозданный протокол и поставил действием Mark Routing
После, я создаю правило в IP-Routes
Проверяю через Tool-Traceroute - пакеты на 123.ру продолжают идти через шлюз по-умолчанию.
Re: Перенаправление трафика в другой шлюз
Добавлено: 09 дек 2021, 15:11
Ca6ko
Ищите темы про обход блокировок
Re: Перенаправление трафика в другой шлюз
Добавлено: 09 дек 2021, 16:22
Inner
В ip firewall mangle
Код: Выделить всё
add action=mark-routing chain=prerouting dst-address-list=<Address List с перечнем нужных сайтов> new-routing-mark=<Маркер> passthrough=yes
В ip route
Код: Выделить всё
add distance=1 gateway=<IP шлюза OVPN> routing-mark=<Маркер>
Re: Перенаправление трафика в другой шлюз
Добавлено: 09 дек 2021, 17:50
Ilya Vozdvizhensky
Inner писал(а): ↑09 дек 2021, 16:22
В ip firewall mangle
Код: Выделить всё
add action=mark-routing chain=prerouting dst-address-list=<Address List с перечнем нужных сайтов> new-routing-mark=<Маркер> passthrough=yes
В ip route
Код: Выделить всё
add distance=1 gateway=<IP шлюза OVPN> routing-mark=<Маркер>
Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.
Re: Перенаправление трафика в другой шлюз
Добавлено: 09 дек 2021, 17:51
Ilya Vozdvizhensky
Ca6ko писал(а): ↑09 дек 2021, 15:11
Ищите темы про обход блокировок
Не могли бы кинуть ссылочку.
Тем не менее, кажется странно, это же перенаправление трафика, не обязательно же обход блокировок)
Re: Перенаправление трафика в другой шлюз
Добавлено: 09 дек 2021, 21:06
Inner
Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.
В адреслист можно указать конкретные домены. Судя по Вашим действиям, Вы сделали тоже самое что и с адреслистом, но только с L7. Суть таже. А L7 достаточно не простая вещь. Высокая нагрузка на роутер + сложность синтаксиса. Если не работает, значит неправильно написали правило в L7.
Re: Перенаправление трафика в другой шлюз
Добавлено: 10 дек 2021, 10:30
Ilya Vozdvizhensky
Inner писал(а): ↑09 дек 2021, 21:06
Я проделал то же самое, но не с Address List, а с Layer 7 Protocol, потому что мне нужны не ip адреса, а доменные имена. И это не заработало.
В адреслист можно указать конкретные домены. Судя по Вашим действиям, Вы сделали тоже самое что и с адреслистом, но только с L7. Суть таже. А L7 достаточно не простая вещь. Высокая нагрузка на роутер + сложность синтаксиса. Если не работает, значит неправильно написали правило в L7.
Сделал все через адресные листы, на примере vk.com
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.
Re: Перенаправление трафика в другой шлюз
Добавлено: 10 дек 2021, 12:09
Inner
Сделал все через адресные листы, на примере vk.com
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.
Приложите кусочек Вашей конфигурации. Интересуют конкретно пункты Routes, Address List и Mangle. Если Ещё и укажите внутренние ip VPN туннеля с пояснением где и какой будет просто супер.
Re: Перенаправление трафика в другой шлюз
Добавлено: 10 дек 2021, 12:48
Ilya Vozdvizhensky
Inner писал(а): ↑10 дек 2021, 12:09
Сделал все через адресные листы, на примере vk.com
Пакеты все равно идут через основной шдюз, в шлюз впн они начинают уходить только после явного указания dst address.
Где-то я косячу, а где понять не могу.
Приложите кусочек Вашей конфигурации. Интересуют конкретно пункты Routes, Address List и Mangle. Если Ещё и укажите внутренние ip VPN туннеля с пояснением где и какой будет просто супер.
192.168.1.1 - ovpn server
192.168.1.3 - ovpn mikrotik client
/ip route
add distance=1 gateway=192.168.1.1 routing-mark=vk
add distance=1 gateway=xx.xx.4.1
add distance=1 dst-address=xx.xx.0.0/16 gateway=10.10.4.
/ip firewall address-list
add address=vk.com list=vk
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vk new-routing-mark=vk passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
Re: Перенаправление трафика в другой шлюз
Добавлено: 10 дек 2021, 13:10
Inner
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
Немного смущает этот пункт. Маскарад идёт на два физических порта. На порт OVPN его нет. Но возможно так и должно быть в виду остальной конфигурации. Видятли клиенты за микротик ip сервера OVPN? И видитли сам сервер OVPN клиентов за микротиком? Попробуйте указать вместо ip адреса OVPN сам интерфейс клиента OVPN.