L2TP/SSTP через указанный внешний интерфейс
Добавлено: 05 дек 2022, 02:14
Здравствуйте!
Есть микротик поднимающий несколько клиентов vpn через основной интерфейс смотрящий в интернет. На нем есть еще резервный интерфейс (LTE).
Мне нужно чтобы определенный vpn клиент с этого микротика поднял свой интерфейс через LTE. RouterOS 6-я. Трафик внешних интерфейсов помечен, и маршруты разведены по помеченному трафику. В цепочке OUTPUT мне надо как то указать чтобы трафик создающий vpn соединение шел через LTE. У меня получилось только через указание адреса назначения. Т.е. если роутер поднимает vpn на какой то другой адрес то все работает. А вот сделать так чтобы адрес подключения vpn был один и тот же у меня не получилось. Если я пытаюсь указывать интерфейс где нибудь (в mangle или vrf) то как я понимаю имеется ввиду трафик внутри интерфейса, а в данном случае нужно пропустить трафик возникающий при создании соединения.
Пробовал подменить IP назначения dst-nat с некого несуществующего IP на реальный, но работает это только видимо в forward, а у меня сам роутер формирует трафик..
Подскажите как можно сделать не используя другой внешний IP? Я скорее любитель..
Механизм хотел использовать для того чтобы держать всегда vpn-соединение через LTE горячим. Чтобы в случае отвала основного провайдера маршруты перестроились (OSPF) сначала на этот горячий туннель и только потом по мере отвала основных vpn соединений (на сервере vpn они отваливаются по таймауту, а таймаут не хотелось бы уменьшать) уже перешла перестройка на LTE. Ну либо вообще развести разные vpn коннекты по разным внешним интерфейсам.
В тестовом режиме у меня сейчас так работает (вторым dest IP является виртуальный микротик у хостера), но хотелось бы упростить.
Есть микротик поднимающий несколько клиентов vpn через основной интерфейс смотрящий в интернет. На нем есть еще резервный интерфейс (LTE).
Мне нужно чтобы определенный vpn клиент с этого микротика поднял свой интерфейс через LTE. RouterOS 6-я. Трафик внешних интерфейсов помечен, и маршруты разведены по помеченному трафику. В цепочке OUTPUT мне надо как то указать чтобы трафик создающий vpn соединение шел через LTE. У меня получилось только через указание адреса назначения. Т.е. если роутер поднимает vpn на какой то другой адрес то все работает. А вот сделать так чтобы адрес подключения vpn был один и тот же у меня не получилось. Если я пытаюсь указывать интерфейс где нибудь (в mangle или vrf) то как я понимаю имеется ввиду трафик внутри интерфейса, а в данном случае нужно пропустить трафик возникающий при создании соединения.
Пробовал подменить IP назначения dst-nat с некого несуществующего IP на реальный, но работает это только видимо в forward, а у меня сам роутер формирует трафик..
Подскажите как можно сделать не используя другой внешний IP? Я скорее любитель..
Механизм хотел использовать для того чтобы держать всегда vpn-соединение через LTE горячим. Чтобы в случае отвала основного провайдера маршруты перестроились (OSPF) сначала на этот горячий туннель и только потом по мере отвала основных vpn соединений (на сервере vpn они отваливаются по таймауту, а таймаут не хотелось бы уменьшать) уже перешла перестройка на LTE. Ну либо вообще развести разные vpn коннекты по разным внешним интерфейсам.
В тестовом режиме у меня сейчас так работает (вторым dest IP является виртуальный микротик у хостера), но хотелось бы упростить.