Здравствуйте!
В Mikrotik есть два PPPoE канала в интернет: Основной -- для выхода сотрудников в интернет, и дополнительный --
для подключения удаленных объектов с видеонаблюдением по VPN.
При попытке VPN клиента подключиться на дополнительный канал роутер естественно отправляет ответ через основной интернет. Для тех объектов, где есть постоянный IP, решил указанием маршрута на этот удалённый IP. Но есть объекты, где постоянного IP просто быть не может... Как решить?
Смутно припоминаю, что вроде masquerade может помочь... Но как именно?
Подскажите пожалуйста: как правильно настроить?
VPN клиент на второй интернет
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Маскарад тут естественно не поможет.
Тип VPN какой?
Тип VPN какой?
Telegram: @thexvo
-
Rednaxel
- Сообщения: 17
- Зарегистрирован: 02 июл 2019, 09:42
В принципе любой микротиковый, который может без белого АйПи с обеих сторон работать - почти на всех объектах Микротики стоят.
Сейчас PPtP и L2TP используется
Сейчас PPtP и L2TP используется
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну в общем смотрите, есть исчезающе маленький шанс, что изначально ответные пакеты микротиковский впн-сервер создает с того адреса, на который к нему ломятся, и маскарадится уже потом.
Тогда все сводится к созданию отдельной таблицы маршрутизации с дефолтным маршрутом через нужного провайдера, и одного ip route rule правила lookup-only-in-table для данного адреса в качестве источника и этой таблицы.
Но скорее всего по полной программе - помечать в mangle prerouting входящие соединения, исключать их из fasttrack’а, и ответные пакеты отправлять по этой таблице.
(Правило в route rule при этом лишним не будет, на случай исходящих соединений).
Тогда все сводится к созданию отдельной таблицы маршрутизации с дефолтным маршрутом через нужного провайдера, и одного ip route rule правила lookup-only-in-table для данного адреса в качестве источника и этой таблицы.
Но скорее всего по полной программе - помечать в mangle prerouting входящие соединения, исключать их из fasttrack’а, и ответные пакеты отправлять по этой таблице.
(Правило в route rule при этом лишним не будет, на случай исходящих соединений).
Telegram: @thexvo
-
Rednaxel
- Сообщения: 17
- Зарегистрирован: 02 июл 2019, 09:42
По-настоящему кажется понял только эту фразу, остальное в тумане ;-)
Но мысль такая: правило НАТ стоит только одно - Out interface list = WAN
Так тогда может просто создать отдельный НАТ для каждого интернета, и все дела?
-
Rednaxel
- Сообщения: 17
- Зарегистрирован: 02 июл 2019, 09:42
В принципе сейчас все работает - просто добавил маршруты на Айпи клиента с маской /24, ну так, от балды. Можно напрячься и найти даже диапазоны провайдеров, а это LTE...
Но тут могут выскочить проблемы у мобильных клиентов, которые к основному интернету подключаются по OpenVPN через проброс портов на сервер внутри сети...
Короче, задавая вопрос, я надеялся что существует простая и удобная "Волшебная кнопка" на этот случай, о которой я не знал или забыл.... Но кажется такой кнопки нет? ;-)
Но тут могут выскочить проблемы у мобильных клиентов, которые к основному интернету подключаются по OpenVPN через проброс портов на сервер внутри сети...
Короче, задавая вопрос, я надеялся что существует простая и удобная "Волшебная кнопка" на этот случай, о которой я не знал или забыл.... Но кажется такой кнопки нет? ;-)
-
Rednaxel
- Сообщения: 17
- Зарегистрирован: 02 июл 2019, 09:42
Вот у меня мысль ломится
"А для чего мне вообще НАТ на дополнительном интернете?". Исходящих изнутри сети на него не полагается, он только для ВПН. Если просто его исключить из этого маскарада, будет оно работать? Собственно что ему за проблема ответить с того же адреса, на который к нему ломятся? Или я что-то не так понимаю?-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вы те мысли, которые к вам ломятся, вы их гоните сразу :)
И хотя так то NAT вам на этом интерфейсе действительно без особой надобности, но он тут вообще ни при чем.
Ищите любой мануал по dual WAN c балансировкой и используйте оттуда те блоки, которые отвечают за разметку входящего трафика, и за цепочку output.
Только в вашем случае можно размечать только для второстепенного провайдера.
И хотя так то NAT вам на этом интерфейсе действительно без особой надобности, но он тут вообще ни при чем.
Ищите любой мануал по dual WAN c балансировкой и используйте оттуда те блоки, которые отвечают за разметку входящего трафика, и за цепочку output.
Только в вашем случае можно размечать только для второстепенного провайдера.
Telegram: @thexvo
-
Rednaxel
- Сообщения: 17
- Зарегистрирован: 02 июл 2019, 09:42
До того, как мне пришла в голову другая светлая мысль - разжаловать Keenetic, который отвечал за основной канал, в точки доступа , и перенести основной канал в более молодой и шустрый MikroTik, заодно с перекладкой проводов.
В Keenetic стояли маршруты на нужные ВПН в Микроте, и все нормально работало без таких "заговоров микросхем".
Цель, кроме скорости, была еще повысить отказоустойчивость системы, т.к. RB4011iGS+ есть запасной, можно оперативно бэкапить и восстанавливать конфигурацию, ну и управлять в одном месте всем трафиком удобнее.
И где Вы раньше были со своим советом?
А если серьёзно, прежде чем потратить минимум день на выкуривание мануалов по DualWAN, могу я попросить совета:
"Это было правильное решение, или лучше все вернуть взад?".
P.S. В принципе изучить вопрос, оно безусловно полезно для роста,. главное чтобы толк из этого вышел.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не нужно ничего возвращать, тем более взад.
Надо единожды настроить, и потом оно будет работать незаметно, прозрачно и бесперебойно.
Надо единожды настроить, и потом оно будет работать незаметно, прозрачно и бесперебойно.
Telegram: @thexvo