Как в Mikrotik направить весь трафик на VPN кроме определенных адресов?

Question

[AkZwork]

Всем привет!
Задача завернуть все соединения на VPN.
Однако часть клиентов уже работает под VPN, соответственно два раза заворачивать смысла нет.

Как быть в следующих ситуациях:
1. Завернуть весь трафик в ВПН кроме определенных IP
2. Завернуть весь трафик в ВПН кроме определенных доменов *.host.com или поддоменов *
3. Завернуть весь трафик в ВПН кроме определенных IP + за исключением определенных устройств (клиентов)

Спасибо.

Answer 1

[Александр Абакумов]

Маркировать трафик.
Для примера возьми статейки, на хабре как раз есть, по настройке 2-3 провайдеров на микротик.
По аналогии сделай так же. Представь что VPN - это второй провайдер и в путь.
Все делается за 30 минут.
Только когда будешь делать через винбокс, нажми вот эту кнопку:

Answer 2

[Uragiremono]

Исходные данные:
WAN - ether1, выход к провайдеру
172.20.10.2/24 - адрес полученный от провайдера
172.20.10.1 - его шлюз
LAN - 192.168.1.0/24
VPN - ovpn_client
10.10.10.2/32 - адрес полученный от VPN-сервера
10.10.10.1 - его шлюз
с опцией add-default-route=yes, весь трафик по-умолчанию должен уходить через VPN

Теория такая, сейчас весь трафик по-умолчанию уходит через VPN.
Нужно промаркировать нужный трафик и отправить его на нужный маршрут.

1. Завернуть весь трафик в ВПН кроме определенных IP

# создать список адресов, которые не должны идти через VPN
ip firewall address-list add list=exclude_list address=192.168.1.10
ip firewall address-list add list=exclude_list address=192.168.1.11

# маркируем пакеты
ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=exclude_list new-routing-mark=ether1_route_mangle passthrough=no src-address=192.168.1.0/24

# изменяем маршрут, который идёт к провайдеру
ip route add dst-address=0.0.0.0/0 gateway=172.20.10.1 distance=1 routing-mark=ether1_route_mangle

2. Завернуть весь трафик в ВПН кроме определенных доменов *.host.com или поддоменов *
Тоже самое, что и в 1 варианте, только вместо IP, вводить домен

ip firewall address-list add list=exclude_list address=host.com
ip firewall address-list add list=exclude_list address=test.host.com

3. Завернуть весь трафик в ВПН кроме определенных IP + за исключением определенных устройств (клиентов)
Это ведь тоже самое, что и первый вариант?
"определенных устройств" есть IP/домен, просто их добавить в список

Comments

[Andrei]

# маркируем пакеты
ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=exclude_list new-routing-mark=ether1_route_mangle passthrough=no src-address=192.168.1.0/24

Тогда уж не dst-address-list=exclude_list, а src-address-list=exclude_list и src-address=192.168.1.0/24 вообще убрать. Иначе ересь получается. Плюс неизвестно, что там с маршрутами по-умолчанию и действительно ли весь трафик изначально идёт в VPN.

[Uragiremono]

Andrei, Можно подробнее? Может я что-то не понимаю, но мне сейчас кажется, что всё правильно.

Как я это представляю, например:

Есть список адресов, на которые я хочу идти не по маршруту по-умолчанию.

ip firewall address-list add list=exclude_list address=google.com

Я отправляю пакет с адресом назначения google.com, когда пакет приходит к цепочке PREROUTING,
он маркируется, потому что адрес назначения есть в списке dst-address-list=exclude_list

ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=exclude_list new-routing-mark=ether1_route_mangle passthrough=no src-address=192.168.1.0/24

А если заменить, на src-address-list=exclude_list, то Mangle будет искать google.com в адресе источника, т.е. он просто не промаркирует пакет.

src-address=192.168.1.0/24 нужно для того, чтобы Mangle маркировал пакеты только с адресом источника из сети 192.168.1.0/24. А если не указать, тогда действительно получится ересь, а если есть другие подсети на роутере? А если пакет придёт с VPN интерфейса(напомню, Mangle находится в PREROUTING), то он его тоже промаркирует и тогда получится фигня какая-та.

Короче нужна конкретная критика, может я действительно всё неправильно делаю.

[Andrei]

Uragiremono, с именами тут всё верно, я про пример 1 писал. Там в exclude добавляются адреса, которые должны ходить не через маршрут по умолчанию:

# создать список адресов, которые не должны идти через VPN
ip firewall address-list add list=exclude_list address=192.168.1.10
ip firewall address-list add list=exclude_list address=192.168.1.11

А дальше маркировка:

# маркируем пакеты
ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=exclude_list new-routing-mark=ether1_route_mangle passthrough=no src-address=192.168.1.0/24

и по ней получается "всё, что ломится на 192.168.1.10 или 192.168.1.11 из сети 192.168.1.0/24, то...."

Answer 3

[АртемЪ]

Для начала нужно промаркировать интересующий вас трафик в соответствии с перечисленными вами задачами.
После чего написать маршрут для маркированного трафика.