Как организовать сеть на Микротике с двумя интернет шлюзами?

Question

[Серёга]

Есть Микротик, он берёт интернет от провайдера и раздаёт в локалку 192.168.1.0/24.
Есть отдельная железка, микро ПК, с адресом 192.168.1.5 (в локалке Микротика, с него берёт интернет), на этом микро ПК подняты платные VPN типа амнезии, адгарда, и т.д., и в итоге комп может выступать в роли шлюза раздавать интернет после VPN. На этот микроПК можно поставить как линукс так и Windows 10, да там вообще Proxmox установлен. На нём всего один сетевой интерфейс - Ethernet 1Gb.
Вопрос: как раздать обратно в сетку микротика 192.168.1.0/24 для определённых клиентов (определённых IP адресов) интернет после VPN?
Мне даже схема непонятна, как это реализовать. Это же не сделать используя одну и ту же подсеть? Если микроПК с виндой, то нужно два интерфейса в бридж объединить, но тогда подсети разные будут, и будет ли работать всё на одном порту? Если это VLANами делается, то как? Не хотелось бы отдельный порт физически только под это выделять. В интернетах подобных схем не нашёл.

Comments

[Ziptar]

Гугл -> mikrotik load balancing

[Alexey Dmitriev]

А зачем такая мутная схема?
Просто указывать шлюз по умолчанию для нужных ПК 191.169.1.5 а на нем уже сделать шлюзом микротик. В Линукс достаточно включить ip forward в sysctl и пакеты пойдут через него

[JoshMil]

Если ключевое значение имеет автоматика, то вероятно на микротике нужно привязать адреса к устройствам, по мак адресу, и раздавать одним обычный шлюз а другим необычный.

Можно как вариант - подключать все устройства как обычно в локалку, а потом на некоторых поднимать тоннель к впн маршрутизатору. Можно вынести маршрутизатор впн зампределы сети, скажем в датацентр куда нибудь далеко, зацепить его ssh тоннелем к основному маршрутизатору для обфускации трафика, и через этот тоннель пользоваться обычным ваергардом (есть докер образ). Вариантов масса на самом деле.
Можно настроить провайдера и впн как два пути на маршрутизаторе, а потом роутить трафик на основании правил. К одним хостам через один шлюз, а другим - через другой.

[Николай Секрет]

Так ну справедливости ради нужно обязательно сказать, что у тебя схема сети не правильная, шлюз должен быть пограничным, но это ладно.
Тут проблема в том, что микротик у тебя шлюз по умолчанию и весь трафик у которого нет другого маршрута идёт через него. Если ты хочешь, чтобы трафик каких-то компов в сети шёл через vpn, то надо на машине с vpn поднимать роутер и уже его ставить шлюзом по умолчанию.
Как вариант можно на микротике сделать два пула dhcp, один обычный, а второй с default gateway 192.168.1.5.
Но на vpn сервере точно нудно делать делать шлюз, иначе у тебя трафик не пойдёт от него, он просто будет думать , что он источник запроса, но адрес назначения не он и будет пакеты отбрасывает, а не форвардить ю, в данном случае натить.

Кончено можно на фаерволе помечать соединения выбранных ip адресов, а потом сделать правило трансляции этого списка в 1.5, но оно тебе не надо, это сложно запутанно, поддерживать нужно, не стоит оно того.

Answer 1

[Valentin Barbolin]

Допустим внутренний клиет это 192.168.1.10 

Маркеруем трафик от него
/ip firewall mangle
add chain=prerouting src-address=192.168.1.10 action=mark-routing new-routing-mark=to-vpn passthrough=yes

Создаем отдельную таблицу маршрутизации для маркированого трафика
/ip route
add gateway=192.168.1.5 routing-mark=to-vpn

Comments

[Серёга]

С настройками Микротика схема ясна, как послать определённого клиента в конкретный шлюз, вроде понятно. Но как в целом с сетью быть? Я же не могу и получать интернет, и отдавать его после VPN с одной подсети? Или как это сделать?

[Ziptar]

Серёга, при чём тут подсеть?

[Valentin Barbolin]

Серёга,

Я же не могу и получать интернет, и отдавать его после VPN с одной подсети?

Можешь.

[Серёга]

Valentin Barbolin, а как? Например, на винде. Получил я интернет на интерфейсе "локальная сеть 1" от шлюза 192.168.1.1. Работает клиент амнезия, в момент работы поднимается интерфейс "Туннель 1". Каким образом мне обратно отдать в ту же локалку доступ к тому, что я получаю от амнезия? Бридж?

[Ziptar]

Серёга, на винде придётся маршрутизировать, включив форвардинг и настроив маршруты везде соответственно; либо натить, но не факт, что интерфейс, который создаёт амнезия, будет нормально работать с ICS, который в винде выполняет функции нат. Никаких проблем с "обратно в ту же локалку" нет и быть не может, сама постановка вопроса странная. Если делить трафик ты хочешь на микроте, то на микроте вторым шлюзом у тебя должен будет быть тот компьютер, на котором установлен клиент амнезии. И этот самый компьютер, поскольку эта винда, должен будет шлюзом железобетонно иметь своё впн подключение. Делить что-то на нём будет трудно. Маршрут до впн сервера только гвоздями приколошматить через провайдера не забудь.
Проще, конечно, на этот компьютер впилить линь (openwrt, положим) и пускать весь трафик локалки через него, на нём же и рулить что куда.

[Valentin Barbolin]

Серёга, С виндой сложно, лучше что-то на базе linux.

[Серёга]

Valentin Barbolin, есть ссылки на примеры?

[Valentin Barbolin]

Серёга, Да, в google полно примеров.

Answer 2

[Andy1899135]

Самый простой вариант - микропк делаешь роутером, затем на виндовой машине меняешь дефолтный гейт на адрес микропк. Все. Если хочется извращений - читаешь про dhcp и его возможности, поднимаешь файрвол на микропк, настраиваешь виланы на микроте и тд и тп

Answer 3

[rPman]

Итак, две машины в локальной сети, подключенные к интернету (разные провайдеры).

Что бы машина, подключенная в интернет, стала шлюзом, на ней нужно настроить NAT, а на машинах, которые должны использовать соответствующий интернет, нужно настроить шлюз.

Шлюз настраивают командой route или настройками на маршрутизаторе (автоматическая раздача настрок шлюза по dhcp).

С помощью команды route (на конечной машине) можно указать, для доступа к каким подсетям интернета каким шлюзом пользоваться, например для российских подсетей. Брать в машиночитаемом виде списки к примеру от сюда

Answer 4

[NeonGC]

1. Поднимаешь влан 100 на локальных портах микрота для работы без впн, раздаёшь в нужные порты антег этого влана.
2. Поднимаешь влан 200 на порту с сервером (микро-ПК), даёшь его как тег.
3. На сервере строишь схему следующего характера в линуксе или в самом proxmox'е: каждый влан это отдельный интерфейс. Поднимаешь dhcp сервер и NAT и транслируешь адреса вовнутрь интерфейса с 200 вланом
4. Назначаешь 200 влан антегом всем, кому надо, либо тег и ручной выбор на интерфейсе

Answer 5

[dyoma228]

Коли на минипк стоит proxmox, я бы поставил на него opnsense, и тамбы все разруливал, а проблему с одним интерфейсом решил бы например usb сетевухой

Answer 6

[Пума Тайланд]

Не понятно зачем там микротик
Просто на Линукс заплатить кого надо куда надо обычными роутами