VPN с маршрутизацией через дополнительный шлюз
Добавлено: 30 сен 2022, 21:27
Есть сервер, на котором развернут CHR, он выступает в качестве IKEv2 IPSec vpn сервера. Есть несколько разных микротиков, которые к нему подключаются, классическая звезда. Используется для удаленной настройки устройств.
И есть некоторое количество мобильных клиентов, которые так же подключаются к серверу, чтобы выходить в интернет через IP CHR. Подсеть, где живут роутеры: 10.100.0.0/24, подсеть для мобильных клиентов 10.100.10.0/24. Соответственно доступа между подсетями нет - заблокирован.
Появился кейс, завести еще одну подсеть 10.100.20.0 для группы мобильных клиентов, чтобы они тоже выходили в интернет, но использовали не IP CHR, а IP одного из роутеров подсети 10.100.0.0/24, а именно 10.100.0.2. Т.е. для этих клиентов трафик должен уходить на 10.100.0.2 как на шлюз. Как правильно настроить такую схему?
Попробовал следующее:
Создал Mangle на трафик от сети 10.100.20.0/24
Создал Route для трафика с метками Mangle, указав шлюз 10.100.0.2
Но на микротике 10.100.0.2 не вижу трафик.
Вообще поведение странное - я вижу с мобильного устройства 10.100.0.2, я могу настроить dst-nat для проброса портов и он работает, например, но заставить работать на нем маскарад - не могу.
Пробовал поднимать маскарад на CHR, заворачивая туда трафик с 10.100.20.0/24, он работает если не создавать роут на 10.100.0.2. Стоит создать маршрут - пакеты в нат уходят, а на 10.100.0.2 я их не вижу и там опять таки не срабатывает маскарад.
Видимо есть какие то особенности в настройке 10.100.0.2, чтобы он принимал входящий по vpn трафик и мог его заворачивать в NAT?
Может кто то подсказать, как правильно настраивать требуемую схему?
И есть некоторое количество мобильных клиентов, которые так же подключаются к серверу, чтобы выходить в интернет через IP CHR. Подсеть, где живут роутеры: 10.100.0.0/24, подсеть для мобильных клиентов 10.100.10.0/24. Соответственно доступа между подсетями нет - заблокирован.
Появился кейс, завести еще одну подсеть 10.100.20.0 для группы мобильных клиентов, чтобы они тоже выходили в интернет, но использовали не IP CHR, а IP одного из роутеров подсети 10.100.0.0/24, а именно 10.100.0.2. Т.е. для этих клиентов трафик должен уходить на 10.100.0.2 как на шлюз. Как правильно настроить такую схему?
Попробовал следующее:
Создал Mangle на трафик от сети 10.100.20.0/24
Создал Route для трафика с метками Mangle, указав шлюз 10.100.0.2
Но на микротике 10.100.0.2 не вижу трафик.
Вообще поведение странное - я вижу с мобильного устройства 10.100.0.2, я могу настроить dst-nat для проброса портов и он работает, например, но заставить работать на нем маскарад - не могу.
Пробовал поднимать маскарад на CHR, заворачивая туда трафик с 10.100.20.0/24, он работает если не создавать роут на 10.100.0.2. Стоит создать маршрут - пакеты в нат уходят, а на 10.100.0.2 я их не вижу и там опять таки не срабатывает маскарад.
Видимо есть какие то особенности в настройке 10.100.0.2, чтобы он принимал входящий по vpn трафик и мог его заворачивать в NAT?
Может кто то подсказать, как правильно настраивать требуемую схему?