Как заставить ходить трафик через VPN-клиента на Mikrotik?

Question

[V K]

Помогите с настройкой микротика, задача и условие один в один как здесь: wiki.mikrotik.com/wiki/Policy_Base_Routing , т.е. необходимо, чтобы некоторый трафик шел не напрямую через провайдера, а через поднятый VPN-туннель до зарубежного прокси.
Настраиваю точно по инструкции, но не работает. Трафик в туннель уходит, но возвращаясь дропится этим правилом.



Интернет от провайдера получаю по PPPoE.
VPN-туннель на PPTP.

Маршруты:

Answer 1

[Николай]

А не проще прописать маршрут в роутах на нужные подсети?

Comments

[V K]

Наверняка проще, я бы так и сделал если понимал, что прописывать. К сожалению не разбираюсь в маршрутах :(

[Николай]

Пингуеш нужный сайт. Идеш на сайт bgp.he.net вставляеш айпи тыкай поиск. Там будет табличка из столбца Announcement выбирай подсеть у которой после / меньше число. В ip - route создай новый в dst-adress вставляй подсеть и в gateway выбирай впн.

[V K]

Отлично! Метод работает. Спасибо. Единственное — если сайт заблокирован, то пингуется заглушка провайдера, приходится пинговать тоже через прокси. Теперь ещё бы автоматизировать процесс вычисления "Announcement".

[Николай]

Если сайтов с десяток то можно и ручками а если сотня другая то проще весь трафик запулить в впн.

[V K]

Теоретически, много сайтов может подпадать под одно значение "Announcement"? Прокси платная, если через него пойдёт незапланированный траф обойдётся накладно.
Ещё один вопрос, опять же теоретически, при каких условиях "Announcement" может измениться и сколь часто?
Спасибо большое за помощь!

[Николай]

Ну например 17.0.0.0/8 эт яблоко под этот блок по подает 16777216 айпи на каждом айпи может пару сотен "сайтов" а может и не быть не одного. Поскольку прокся платная пуляй не весь блок а конкретные айпи но всякие однокамерники вкантактики и другие крупные сайты лучше пулять по Announcement. Announcement меняет владелиц блока взаимозависимости от надобностей и здесь предсказать не возможно вод например гугл bgp.he.net/AS15169 а это bgp.he.net/AS13238 яндекс и на графике можно посмотреть изменения Announcement.

[V K]

Случилось странное. Не менял ни каких настроек, но утром вместо сайта опять заглушка провайдера. Проверил настройки, проверил "Announcement", попробовал прямой IP сайта, но всё тщетно. :(

[Николай]

Хм днс? Попробуй гугловые 8.8.8.8 8.8.4.4. Если не поможет стукни в почту.

Answer 2

[nimbo]

не совсем понял зачем так сделано. не легче просто distance для pppoe маршрута выставить 2? абсолютно точно я бы прописал статический маршрут до вашего vpn-сервера, указав фэйс pppoe + убрать роутинг марк. т.о. у нас весь трафик шёл бы через vpn, который шёл бы через pppoe. если я, конечно же, всё правильно помню)
либо оставляем "вот это всё", но тогда показывайте как настроен фаерволл, манглы и прочее, что лежит в ip->firewall
зы: я правильно понимаю, что провайдер выдаёт вам ip (может личный кабинет или ещё что-то в этом духе), но для нормальных интернетов вам надо ещё и pppoe поднять?.. 0_о
ззыы: вообще ещё бы скрин интерфейсов, ну или просто вывод консоли\конфига с тем, что у вас там наконфигурировано.

Comments

[V K]

По простому, мне надо, чтобы запросы на rutor.org, например, шли не через моего провайдера, который заблокировал этот сайт, а через иностранный прокси, который тоже уже поднят через PPTP. По ссылке в моём сообщении указано как это сделать, я настроил всё в точности как сказано и трафик благополучно уходит на проксю, но по возвращении дропится одним из правил файрвола потому, что возвращается через интерфейс провайдера, который его не ждёт.