Задать вопрос

Mikrotik как вывести взаимодействие с заданными сайтами через отдельный vpn интерфейс?

В организации есть роутер Микротик, используется как основной шлюз для выхода в интернет и обслуживает внутреннюю сеть организации. Встала задача получить доступ к ряду сайтов через зарубежный vpn.
Что сделал:
1) настроил vpn туннель на Микротике, соединение прошло, попробовал внутренними средствами роутера осуществить трасерт до нужного сайта - пакет нормально трасируется через внешние узлы через vpnканал;
2) настроил маркировку пакетов из внутренней сети, которые идут до нужных узлов, и направил их в vpn по следующим правилам:

/ip firewall address-list
add address=x.x.x.x list=block_sites comment="www.kremlin.ru"
/ip firewall mangle

add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \
dst-address-list=block_sites new-routing-mark=block_sites

/ip route
add distance=1 gateway=xxxxxxxxxxxxx routing-mark=block_sites

3) стал проверять.. с роутера все идет до нужных узлов без затыков что по обычному ppoe соединению от провайдера, что через зарубежный vpn, однако от клиентов локальной сети доступ до этих узлов стал заблокирован, когда я заворачиваю помеченные пакеты на vpn. Также заметил, что из локальной сети не могу достучаться до шлюза к которому подцеплен зарубежный vpn. Т.е. если считать:
192.168.1.1 - внутренний адрес роутера для локальной сети
192.168.1.2 - адрес локального клиента- рабочей станции
145.x.x.1 - внешний адрес роутера у провайдера интернета
145.x.x.2 - адрес vpn сервера провайдера через который идет интернет
194.y.y.1 - внешний адрес роутера через зарубежный vpn
194.y.y.2 - адрес зарубежного сервера к которому подключаемся по vpn
8.8.8.8 - требуемый ресурс

то по факту:
- в принципе не получается даже пропинговать 8.8.8.8 с адреса 192.168.1.1 или с адреса 192.168.1.2, если я ставлю обязательную пересылку помеченных пакетов через 194.y.y.2,
- 192.168.1.2 и 192.168.1.1 пингует адрес 194.y.y.1 без проблем;
- в принципе не получается пропинговать шлюз 194.y.y.2 с ip адресов 192.168.1.1 или 192.168.1.2, хотя с адреса 194.x.x.1 он доступен;
- также не получается достучаться ни к 194.y.y.2 ни к 8.8.8.8 из внутренней локльной сети, если сделать локальный маршрут на компе клиента, который для этих ip адресов основным шлюзом делают 194.y.y.1;
- если поменять пересылку помеченных пакетов напрямую через 145.x.x.2 - пакеты начинают ходить и приниматься как надо до сайта 8.8.8.8 - т.е. правило маркировки и обработки помеченных пакетов выполняется;
- посмотрел все запрещающие\разрешающие правила - не выявил ничего подозрительного или лишнего.

Настраиваю Микротик впервые, подскажите пожалуйста что я упустил.
  • Вопрос задан
  • 2722 просмотра
Подписаться 5 Оценить Комментировать
Решения вопроса 1
dannyzubarev
@dannyzubarev
Похоже на то, что вы забыли про NAT. :)

/ip firewal nat add action=masquerade chain=srcnat out-interface=[YOUR_VPN_OUT_INTERFACE]


[YOUR_VPN_OUT_INTERFACE], соответственно, заменить на название вашего vpn-out интерфейса.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы