Как правильно настроить маршрутизацию для VPN Микротик?

Question

[Drno]

Дано -
Роутер CHR с настроенным SSTP сервером. Всё работает, подключается итд
хочу - с клиента номер 1 пустить трафф через клиента номер 2

роутер - 172.17.17.1
клиент 1 - ip 172.17.17.2
клиент2 - ip 172.17.17.244

Роутер 1 - это опенВРТ. промаркировал пакеты, отправил нужную мне локальную подсеть на default gateway
ip route add default via 172.17.17.244 table 99

Вижу что трассировка изменилась, траф пошел к впн серваку, НО....
траффик доходит до ВПН сервака и потом уходит в ЕГО дефолтный шлюз, вместо того чтобы идти к IP от клиента номер 2

Кто бы объяснил почему так? и как отучить микротик перехватывать траф?

пинги \ ssh итд между клиентеами ходят, всякий NAT маскарды включены

Comments

[Юрий MikroTik]

Покажи конфигурацию CHR
NAT должен быть только в WAN

[Drno]

Юрий MikroTik, включен masquerade для ALL PPP
т.к. есть клиенты, которым нужно выходить в инет через сам сервак

отключил для проверки -
трассировка не изменилась

[Drno]

Юрий MikroTik, такое впечатление что дело может быть не в мироктике...
попробовал тож самое провернуть с опенвпн(сервер на голом линуксе), получил тож самое - всё уходит в шлюз опенВПН

[AlexVWill]

траффик доходит до ВПН сервака и потом уходит в ЕГО дефолтный шлюз, вместо того чтобы идти к IP от клиента номер 2

Вопрос как то сумбурно сформулирован, я что-то ничего не понял. Какой клиент к к роутеру подключается, куда какой VPN заходит. Лучше бы картинку топологии сети нарисовал чтоли. Роутер таки CHR или OpenWRT, как они связаны, какой клиент куда заходит?

"хочу - с клиента номер 1 пустить трафф через клиента номер 2"

тут я вообще не понял, клиенты это входящие соединения, как можно через друг-друга трафик пускать?
Если же я правильно понял (хотя и смутно) суть проблемы, то на Mikrotik надо тоже маркировку настроить, если SSTP у тебя не шлюз по умолчанию, то все входящие пакеты для него - это просто пакеты, он не знает что надо какие то направить на интерфейс SSTP сервера.
Поэтому создай таблицу маршрутизации для VPN если нет, в правиле mangle идентифицируй клиента по IP и маркируй его пакеты Routing Table которую создал.

[Drno]

AlexVWill,
роутер - 172.17.17.1 - облачный микротик
клиент 1 - ip 172.17.17.2 - опенВРТ
клиент2 - ip 172.17.17.244 - опенВРТ

Хочу - чтобы клиент1 ходил в интернет через клиент2
Для их связи используется Микротик, как промежуточное звено. потому что белых IP на клиентах нету

Поэтому создай таблицу маршрутизации для VPN если нет, в правиле mangle идентифицируй клиента по IP и маркируй его пакеты Routing Table которую создал.

Создал.. получил вроде трассерт нормальный. но скорость просто нулевая... почему то)

будем копать дальше

[oldsadraven]

Drno, вам правильно задали вопрос: что вы хотите получить в итоге? Чтобы вам помогли, научитесь правильно формулировать запрос.
Клиент1 - это маршрутизатор? Вы с него собираетесь выходить в интернет? Если нет, то у него есть внутренняя подсеть, LAN - её (или её часть) и нужно смаршрутизировать. Можно, конечно, накрутить двойной NAT - но это такое себе по производительности.
1. На роутере1 назначаем CHR основным шлюзом для внутренней сети роутера1. Не силён в OpenWRT, не могу сказать, как там это делается. Лучше бы из этого списка адресов исключить сам роутер1 (его адрес во внутренней подсети).
2. На CHR в Firewall разрешаем ходить трафику между внутренней подсетью роутера1 и VPN-подсетью.
3. Маркируем проходящие пакеты от подсети роутера1.
4. В маршрутах CHR назначаем шлюз по умолчанию для подсети роутера1 (по маркировке) = IP-адрес роутера2 в VPN-сети.
5. На роутере2 разрешаем в файрволле пакеты от подсети роутера1.
6. На роутере2 маскарадим пакеты от подсети роутера1 в основной шлюз.

Вроде ничего не забыл, писал из головы.

[Drno]

oldsadraven,
1. нет конечно CHR это ВПН сервак где то там в ДЦ
2. зачем? мне ненужен доступ до внутренних подсетей. у меня нет задачи объединять подсети

правильный вариант - маркировака пакетов на микротие от роутера 1 (по его IP в впн сети) и далее перенаправление в нужный шлюз

Answer 1

[Lx6g1ZG1]

зачем Вам два маршрутизатора? это как-то странно..
у Вас маршрутизатор в сети должен быть один - он и разруливает весь трафик
конечно бывает разное ... но нужно понять что Вы хотите сделать в целом ?
Возможно есть более правильное решение.
Маршрутизацию Вам нужно настраиваит на основном маршрутизаторе (ну т.е. на CHR).

Comments

[Drno]

а сколько их должно быть?)
мне надо отправить определенную подсеть из роутера 1, через роутер 2

Микротик используется просто как промежуточное звено, чтобы объединить роутеры в одну сеть

[Lx6g1ZG1]

а сколько их должно быть?)

в идеале один - на то он и маршрутизатор

получается что Вы в интернет через несколько nat'ов ходите
не совсем понятно зачем эти nat'ы нужны?
если можно просто сделать разные подсети на основном маршрутизаторе
или вообще Вам возможно нужна одна подсеть . Вы же хотите для чего-то объединить подсети за натом.

[Drno]

Lx6g1ZG1, прочитайте вопрос. и мой комент Вам

мне надо выпустить в инет "клиент 1", через "клиент 2"
вот и вся задача
зачем - это уже неважно

[Lx6g1ZG1]

ну тогда ответ прост - настраивайте это на основном маршрутизаторе )

[Drno]

Lx6g1ZG1, на каком основном по твойму я должен это настраивать?
ты читал вопрос? или ты его не понял ?

[Lx6g1ZG1]

RTFM

[Drno]

Lx6g1ZG1, видимо не читал...

[Lx6g1ZG1]

нет, видимо читал - далее пусть Вам помогут добрые люди в ~елых халатах.
Вы переходите на ты и ведете себе некоректно.

[Drno]

Lx6g1ZG1, не занимайся троллингом и всё будет хорошо

[Lx6g1ZG1]

Drno, это вы видимо сам себе

Вы не хотите отвечать на вопросы.
Не принимаете критику.
Переходите на личности.
я троллингом не занимаюсь .
им занимаетесь Вы.
RTFM еще раз, видимо вы не поняли этого.
Если Хотите чтобы на Ваши вопросы отвечали: уважайте других или отвечайте на них сами, если такой Вы умный.

[Drno]

Lx6g1ZG1, это я тебе. потому что ты или не понял изначальный вопрос, или тупо троллишь)

[Lx6g1ZG1]

Drno, а ну ясно , диагноз потвержден ))

[David]

Нужен полный конфиг для того чтобы разобраться что у вас не так.

[Drno]

David, полный конфиг чего конкретно?

Answer 2

[Артём]

Мне видится, что ваш вопрос нужно решать с помощью L2-VPN: либо арендовать у одного провайдера этот канал, либо EOIP (но тут нужны белые IP)
Соответственно после того, как всё будет в одном широковещательном домене, сможете выбирать через какой шлюз кого выпускать

Comments

[Drno]

если бы так было возможно... но к сожалению не получится)
роутеры стоят по домам.. в разных странах
разве что вариант с белыми IP, но видится мне что доступ между ними может прерваться, есть вероятность...

Answer 3

[reanimator_wave]

Если я правильно понял вопрос, то вариант решения возможен такой:
-добиваемся хождения пакетов от впн-интерфейса клиента1 до лан-адреса маршрутизатора клиент2 без использования нат по дороге (просто прописываем маршрутами)
- на роутере "клиент1" делаем маршрут по умолчанию не на адрес в впн-тунеле "клиента2", а на лан-адрес "клиента2".
- на "клиент1" делаем статический маршрут к chr-роутеру, с указанием шлюза провайдера "клиента1" (чтоб впн поднялся).
-пользуемся...