Как бы мне объединить разные VPN подключения в одно?

Question

[AlexVWill]

Есть домашний микрот, внутренний пул адресов микротика 192.168.1.0 На нем поднят OpenVPN клиент, который внутри микротика создает сетевой интерфейс, а наружу смотрит на VPN сервер в загнивающим и замерзающем ЕС.
И есть в микротике также VPN сервер, на нем два типа клиентских подключения, одно в 10.200.0.0 подсети, другое в 10.100.0.0
Первое предназначено для доступа к домашней сети микротика и всем девайсам внутри нее.
Второе путем маскарадинга и mark routing рутится на сетевой интерфейс OpenVPN, чтобы через него выходить в сеть избегая тем самым цензуры. Сделано х.з давно как, я уж и не помню зачем и почему так сделал, наверное так было надо. Работает это все, и ладно. Все максимально просто и кондово.
Но чета последнее время заманался я переключаться с одного на другое, и подумал, что м.б. как то это все объединить, чтобы обращения на адреса внутренней сети миротика шли к клиентам домашней сети, а адреса наружу как то автоматом маршрутизировались на OpenVPN интерфейс. И вот сижу и битый час туплю, и понять не могу, как мне такое сделать? Может у кого есть мысля?
Заранее спасибо.

Answer 1

[asmelnik]

1. Убрать маркировку,
2. Убрать NAT по маркировке, и сделать NAT по src 10.100.0.0.24

Это пропробуйте убрать.

/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "Rule to forward all SSTP traffic to OpenVPN server" new-routing-mark=\
    OpenVPN passthrough=yes src-address=10.100.0.0/24

А вот это

/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "SSTP forwarding to OpenVPN masquerade rule" out-interface=VPS4OpenVPN \
    routing-mark=OpenVPN src-address=10.100.0.0/24

поменять на

/ip firewall nat
add action=masquerade chain=srcnat  out-interface=VPS4OpenVPN src-address=10.100.0.0/24

Хотя есть одно но, пока устройство не в домашней сети, то все работает, но как только заходим в сеть через WiFi, то девайс получает IP по DHCP из внутреннего пула, и правило не работает.

увы, и не будет работать по-нормальному из локалки.
Микротику как-то надо понимать хотите вы в инет через ВПН или "напрямую".
Скорее всего для этого вы маркировку и делали.

Вот, собственно.
https://mum.mikrotik.com/presentations/RU17M/prese...
Что у вас скорее всего было сделано (насколько я понимаю)
т.е. у вас был создан в микротике "виртуальный мини микротик" у которого 2 интерфейса - VPN к буржуям, и VPN для подключения.

Если ИП статикой -- то весь инет для этого ИП скорее всего или пойдет через ВПН, или в ВПН вообще не попадет.
Могу и ошибаться, конечно.

Comments

[AlexVWill]

Ладно, всеравно за решение и за идею спасибо, так всеравно лучше, на досуге займусь дальше.

Answer 2

[Дмитрий]

Теоретически, второй впн может делать все что нужно, если ему никто не мешает. Если на вашем микротике настроен файрвол с запретами ходить из второго впн в локалку - надо будет править его. Надо бы посмотреть конфиг - Файрвол, Маршруты, Маркировку.

Comments

[asmelnik]

А что мешает одновременно 2 vpn-а на клиентском девайсе запустить?

[Drno]

asmelnik, отсутствие поддержки 2х tun на мобилке, к примеру)

[asmelnik]

Тогда как посоветовали выше -- найти где и чем заблокирован доступ в локалку через "цензурный" VPN.
Если при подключении ко 2-му впн у вас ВЕСЬ интернет работает через ВПН, а не только некоторые ресурсы, то вы получаете шлюз по умолчанию, и весь трафик улетает туда, в том числе 192.168.1.0/24
проблема может быть, когда ваш девайс сам находится в 192.168.1.0/24, тогда вы не получите доступа к своей локалке.

[AlexVWill]

если ему никто не мешает

да ему ничто не мешает, там в конфиге пронего нет ничего, разве кроме что

/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "Rule to forward all SSTP traffic to OpenVPN server" new-routing-mark=\
    OpenVPN passthrough=yes src-address=10.100.0.0/24

/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "SSTP forwarding to OpenVPN masquerade rule" out-interface=VPS4OpenVPN \
    routing-mark=OpenVPN src-address=10.100.0.0/24

Удаление этого правила дает этому соединению доступ в сеть, но убирает сквозной доступ на VPS, добавление - наоборот. Собственно и вопрос - как все вместе подружить )))
Пробовал оба соединения в 192.169.1.0 запихнуть, так сеть почему то не видит. Я не настоящий сварщик, разобраться в премудростях микротика знаний нехватает.

[AlexVWill]

asmelnik, если бы в Андроиде приложения знали, куда при этом им ходить - было бы отлично. А ручное выставление галочек для приложений - это тупиковый путь, лучше тогда уж по старинке руками переключать. А на линукс компе надо еще и руками правила писать, а винда вообще враскоряку встает при таком сценарии...

[asmelnik]

AlexVWill,
Это пропробуйте убрать.

/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "Rule to forward all SSTP traffic to OpenVPN server" new-routing-mark=\
    OpenVPN passthrough=yes src-address=10.100.0.0/24

А вот это

/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "SSTP forwarding to OpenVPN masquerade rule" out-interface=VPS4OpenVPN \
    routing-mark=OpenVPN src-address=10.100.0.0/24

поменять на

/ip firewall nat
add action=masquerade chain=srcnat  out-interface=VPS4OpenVPN src-address=10.100.0.0/24

[AlexVWill]

Брааат ))) Ты прав, все работает, напиши ответом, отмечу как решение.
Хотя есть одно но, пока устройство не в домашней сети, то все работает, но как только заходим в сеть через WiFi, то девайс получает IP по DHCP из внутреннего пула, и правило не работает. Но это решается присвоением статического IP, я надеюсь...
О! Я вспомнил почему два правила создал! )))