Задать вопрос

Как в Mikrotik направить весь трафик на VPN кроме определенных адресов?

Всем привет!
Задача завернуть все соединения на VPN.
Однако часть клиентов уже работает под VPN, соответственно два раза заворачивать смысла нет.

Как быть в следующих ситуациях:
1. Завернуть весь трафик в ВПН кроме определенных IP
2. Завернуть весь трафик в ВПН кроме определенных доменов *.host.com или поддоменов *
3. Завернуть весь трафик в ВПН кроме определенных IP + за исключением определенных устройств (клиентов)

Спасибо.
  • Вопрос задан
  • 23488 просмотров
Подписаться 3 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 3
nops
@nops
Системный инженер.
Маркировать трафик.
Для примера возьми статейки, на хабре как раз есть, по настройке 2-3 провайдеров на микротик.
По аналогии сделай так же. Представь что VPN - это второй провайдер и в путь.
Все делается за 30 минут.
Только когда будешь делать через винбокс, нажми вот эту кнопку: 5cfb4e07235fe534993131.png
Ответ написан
Комментировать
@Uragiremono
Исходные данные:
WAN - ether1, выход к провайдеру
172.20.10.2/24 - адрес полученный от провайдера
172.20.10.1 - его шлюз
LAN - 192.168.1.0/24
VPN - ovpn_client
10.10.10.2/32 - адрес полученный от VPN-сервера
10.10.10.1 - его шлюз
с опцией add-default-route=yes, весь трафик по-умолчанию должен уходить через VPN

Теория такая, сейчас весь трафик по-умолчанию уходит через VPN.
Нужно промаркировать нужный трафик и отправить его на нужный маршрут.

1. Завернуть весь трафик в ВПН кроме определенных IP
# создать список адресов, которые не должны идти через VPN
ip firewall address-list add list=exclude_list address=192.168.1.10
ip firewall address-list add list=exclude_list address=192.168.1.11

# маркируем пакеты
ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=exclude_list new-routing-mark=ether1_route_mangle passthrough=no src-address=192.168.1.0/24

# изменяем маршрут, который идёт к провайдеру
ip route add dst-address=0.0.0.0/0 gateway=172.20.10.1 distance=1 routing-mark=ether1_route_mangle


2. Завернуть весь трафик в ВПН кроме определенных доменов *.host.com или поддоменов *
Тоже самое, что и в 1 варианте, только вместо IP, вводить домен
ip firewall address-list add list=exclude_list address=host.com
ip firewall address-list add list=exclude_list address=test.host.com


3. Завернуть весь трафик в ВПН кроме определенных IP + за исключением определенных устройств (клиентов)
Это ведь тоже самое, что и первый вариант?
"определенных устройств" есть IP/домен, просто их добавить в список
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Для начала нужно промаркировать интересующий вас трафик в соответствии с перечисленными вами задачами.
После чего написать маршрут для маркированного трафика.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы