Как пустить исходящее VPN соединение через определенный порт mikrotik?

Question

[sigmatik]

Добрый день! Имеется маршрутизатор, подключенный к двум провайдерам, оба работают по технологии PPPoE , соответственно интерфейсы называются pppoe-out1 и pppoe-out2 . С помощью параметра Distance настроен приоритет использования провайдера номер 1, то есть у него дистанция стоит 1 а у второго 2.
Имеется также исходящее ВПН подключение pptp-out1. Как и весь остальной трафик , подключение к внешнему ВПН серверу выполняется через pppoe-out1, по крайней мере пока работает провайдер №1.

Вопрос: как принудительно заставить pptp-out1 работать через провайдера №2 ?

Answer 1

[Dmitry Tallmange]

/ip route add dst-address=1.1.1.1 gateway=pppoe-out2

где 1.1.1.1 - адрес pptp-сервера

Comments

[sigmatik]

спасибо! неужели все настолько просто ?

[Dmitry Tallmange]

sigmatik: попробуйте сначала) В целом да, ничего сверх сложного

[sigmatik]

Dmitry Tallmange: попробовал, все работает, но есть небольшая проблема. Помимо pptp-out1 На этом же шлюзе имеется впн-сервер, pptp-in1 который держит отдельный впн, запрос на соединение с которым приходит с точно того же адреса ( в вашем примере 1.1.1.1 ) , и когда я добавил ваше правило, pptp-in1 работать почему то перестал ... МОжно ли параметр dst-address=1.1.1.1 заменить на что то вроде out-interface=pptp-out1 , чтобы не использовать в правилах маршрутизации айпи адрес ?

[Dmitry Tallmange]

sigmatik: Вы поднимаете РРТР на хост, который поднимает РРТР на вас?

[Dmitry Tallmange]

sigmatik: по сути вопроса: сдается мне, что входящее соединение приходит НЕ на внешний адрес pppoe-out2, именно поэтому оно отвалилось. Я не прав?

[sigmatik]

Dmitry Tallmange: попытаюсь объяснить , на pppoe out1 есть внешний статический айпи, пусть он будет 3.3.3.3 , именно этот айпи использует pptp in1 для установления входящего соединения от хоста 1.1.1.1 ( тоже статический адрес на другой стороне ) . В тоже время на pppoe out2 статического айпи нет, поэтому было принято решение второй впн ( который нужно пустить через второго провайдера ) развернуть в обратную сторону, то есть сделать так чтобы pptp out1 конектился к 1.1.1.1 . Задача:
1. pptp out1 пустить принудительно через pppoe out2
2. Оставить рабочими оба впн , чтобы в случае недоступности какого-то из провайдеров они друг друга резеврировали.

[Dmitry Tallmange]

Можно оставить один pptp клиент, который будет поднимать соединение через активный канал. Если один из каналов ляжет - он подключится через второй. Если цель резервирование, то это самый правильный вариант

[Wexter]

sigmatik: для этого поднимайте маркировку пакетов и две таблицы маршрутизации через провайдера1 и провайдера2
https://geektimes.ru/post/186284/

[sigmatik]

Dmitry Tallmange: согласен . Вопрос как это реализовать ? Так же дистанциями ?

[Dmitry Tallmange]

Адаптированный пример, взятый отсюда. В качестве шлюзов для проверки доступности канала используем публичные DNS-серверы яндекса. В качестве удаленного сервера также используем адрес 1.1.1.1, для примера.

/ip route
add dst-address=77.88.8.1 gateway=pppoe-out1 scope=10
add dst-address=77.88.8.2 gateway=pppoe-out2 scope=10
/ip route
add dst-address=1.1.1.1 gateway=77.88.8.1 check-gateway=ping distance=1
add dst-address=1.1.1.1 gateway=77.88.8.2 check-gateway=ping distance=2

[Dmitry Tallmange]

sigmatik: таким образом, когда через pppoe-out1 будет действительно доступен интернет, пптп будет подниматься через него. Как только доступность пропадет, но будет доступность через pppoe-out2, то соединение будет осуществляться через него.

[sigmatik]

Dmitry Tallmange: наоборот , мне нужно чтобы трафик впн шел через pppoeout2
Я так понимаю тогда будет

/ip route
add dst-address=77.88.8.1 gateway=pppoe-out1 scope=10
add dst-address=77.88.8.2 gateway=pppoe-out2 scope=10
/ip route
add dst-address=1.1.1.1 gateway=77.88.8.1 check-gateway=ping distance=2
add dst-address=1.1.1.1 gateway=77.88.8.2 check-gateway=ping distance=1

[Dmitry Tallmange]

sigmatik: Разумеется, именно так

[sigmatik]

Dmitry Tallmange: чем тогда это отличается от такой схемы :

/ip route
add dst-address=0.0.0.0/24 gateway=pppoe-out1 distance=1
add dst-address=0.0.0.0/24 gateway=pppoe-out2 distance=2

add dst-address=1.1.1.1 gateway=pppoe-out2 distance=1
add dst-address=1.1.1.1 gateway=pppoe-out1 distance=2

[Dmitry Tallmange]

Вероятно вместо 0.0.0.0/24 имеется ввиду 0.0.0.0/0, что означает маршрут по умолчанию. Нас же интересует лишь маршрут до 1.1.1.1. Если вы поставите «все нолики», то это обеспечит глобальное резервирование каналов, а не только хоста 1.1.1.1.

[sigmatik]

Да, конечно 0.0.0.0/0 . Задам вопрос по другому. Если в маршрутах будет добавлено сразу два правила:

add dst-address=0.0.0.0/0 gateway=pppoe-out1 distance=1
и
add dst-address=1.1.1.1 gateway=pppoe-out2 distance=1

Через какой интерфейс будет работать pptp-out на удаленный сервер 1.1.1.1 ?

[Dmitry Tallmange]

sigmatik: конечно через pppoe-out2

[sigmatik]

Dmitry Tallmange: ладно, буду экспериментировать. Большое спасибо за консультацию !!