Как правильно настроить маршрутизацию для VPN Микротик?
Дано -
Роутер CHR с настроенным SSTP сервером. Всё работает, подключается итд
хочу - с клиента номер 1 пустить трафф через клиента номер 2
роутер - 172.17.17.1
клиент 1 - ip 172.17.17.2
клиент2 - ip 172.17.17.244
Роутер 1 - это опенВРТ. промаркировал пакеты, отправил нужную мне локальную подсеть на default gateway
ip route add default via 172.17.17.244 table 99
Вижу что трассировка изменилась, траф пошел к впн серваку, НО....
траффик доходит до ВПН сервака и потом уходит в ЕГО дефолтный шлюз, вместо того чтобы идти к IP от клиента номер 2
Кто бы объяснил почему так? и как отучить микротик перехватывать траф?
пинги \ ssh итд между клиентеами ходят, всякий NAT маскарды включены
Юрий MikroTik, такое впечатление что дело может быть не в мироктике...
попробовал тож самое провернуть с опенвпн(сервер на голом линуксе), получил тож самое - всё уходит в шлюз опенВПН
траффик доходит до ВПН сервака и потом уходит в ЕГО дефолтный шлюз, вместо того чтобы идти к IP от клиента номер 2
Вопрос как то сумбурно сформулирован, я что-то ничего не понял. Какой клиент к к роутеру подключается, куда какой VPN заходит. Лучше бы картинку топологии сети нарисовал чтоли. Роутер таки CHR или OpenWRT, как они связаны, какой клиент куда заходит?
"хочу - с клиента номер 1 пустить трафф через клиента номер 2"
тут я вообще не понял, клиенты это входящие соединения, как можно через друг-друга трафик пускать?
Если же я правильно понял (хотя и смутно) суть проблемы, то на Mikrotik надо тоже маркировку настроить, если SSTP у тебя не шлюз по умолчанию, то все входящие пакеты для него - это просто пакеты, он не знает что надо какие то направить на интерфейс SSTP сервера.
Поэтому создай таблицу маршрутизации для VPN если нет, в правиле mangle идентифицируй клиента по IP и маркируй его пакеты Routing Table которую создал.
AlexVWill,
роутер - 172.17.17.1 - облачный микротик
клиент 1 - ip 172.17.17.2 - опенВРТ
клиент2 - ip 172.17.17.244 - опенВРТ
Хочу - чтобы клиент1 ходил в интернет через клиент2
Для их связи используется Микротик, как промежуточное звено. потому что белых IP на клиентах нету
Поэтому создай таблицу маршрутизации для VPN если нет, в правиле mangle идентифицируй клиента по IP и маркируй его пакеты Routing Table которую создал.
Создал.. получил вроде трассерт нормальный. но скорость просто нулевая... почему то)
Drno, вам правильно задали вопрос: что вы хотите получить в итоге? Чтобы вам помогли, научитесь правильно формулировать запрос.
Клиент1 - это маршрутизатор? Вы с него собираетесь выходить в интернет? Если нет, то у него есть внутренняя подсеть, LAN - её (или её часть) и нужно смаршрутизировать. Можно, конечно, накрутить двойной NAT - но это такое себе по производительности.
1. На роутере1 назначаем CHR основным шлюзом для внутренней сети роутера1. Не силён в OpenWRT, не могу сказать, как там это делается. Лучше бы из этого списка адресов исключить сам роутер1 (его адрес во внутренней подсети).
2. На CHR в Firewall разрешаем ходить трафику между внутренней подсетью роутера1 и VPN-подсетью.
3. Маркируем проходящие пакеты от подсети роутера1.
4. В маршрутах CHR назначаем шлюз по умолчанию для подсети роутера1 (по маркировке) = IP-адрес роутера2 в VPN-сети.
5. На роутере2 разрешаем в файрволле пакеты от подсети роутера1.
6. На роутере2 маскарадим пакеты от подсети роутера1 в основной шлюз.
oldsadraven,
1. нет конечно CHR это ВПН сервак где то там в ДЦ
2. зачем? мне ненужен доступ до внутренних подсетей. у меня нет задачи объединять подсети
правильный вариант - маркировака пакетов на микротие от роутера 1 (по его IP в впн сети) и далее перенаправление в нужный шлюз
зачем Вам два маршрутизатора? это как-то странно..
у Вас маршрутизатор в сети должен быть один - он и разруливает весь трафик
конечно бывает разное ... но нужно понять что Вы хотите сделать в целом ?
Возможно есть более правильное решение.
Маршрутизацию Вам нужно настраиваит на основном маршрутизаторе (ну т.е. на CHR).
получается что Вы в интернет через несколько nat'ов ходите
не совсем понятно зачем эти nat'ы нужны?
если можно просто сделать разные подсети на основном маршрутизаторе
или вообще Вам возможно нужна одна подсеть . Вы же хотите для чего-то объединить подсети за натом.
Вы не хотите отвечать на вопросы.
Не принимаете критику.
Переходите на личности.
я троллингом не занимаюсь .
им занимаетесь Вы.
RTFM еще раз, видимо вы не поняли этого.
Если Хотите чтобы на Ваши вопросы отвечали: уважайте других или отвечайте на них сами, если такой Вы умный.
Мне видится, что ваш вопрос нужно решать с помощью L2-VPN: либо арендовать у одного провайдера этот канал, либо EOIP (но тут нужны белые IP)
Соответственно после того, как всё будет в одном широковещательном домене, сможете выбирать через какой шлюз кого выпускать
если бы так было возможно... но к сожалению не получится)
роутеры стоят по домам.. в разных странах
разве что вариант с белыми IP, но видится мне что доступ между ними может прерваться, есть вероятность...
Если я правильно понял вопрос, то вариант решения возможен такой:
-добиваемся хождения пакетов от впн-интерфейса клиента1 до лан-адреса маршрутизатора клиент2 без использования нат по дороге (просто прописываем маршрутами)
- на роутере "клиент1" делаем маршрут по умолчанию не на адрес в впн-тунеле "клиента2", а на лан-адрес "клиента2".
- на "клиент1" делаем статический маршрут к chr-роутеру, с указанием шлюза провайдера "клиента1" (чтоб впн поднялся).
-пользуемся...
Простой
Средний
