Задать вопрос

JohnSmith278

Комментарии

  • Как заставить mikrotik тунелировать трафик только для одного входного интерфейса?

    @JohnSmith278 Автор вопроса
    velosipedist, я для себя дома строю. Просто нужно, чтобы с одного хоста и всех виртуалок на нем подключенных по bridge трафик шел на mullvad.
    Задача не очень сложная, чтобы целого сетевика нанимать, тем более я микротик купил как раз, чтобы получше разобраться в сетях.
    Написано

  • Как заставить mikrotik тунелировать трафик только для одного входного интерфейса?

    @JohnSmith278 Автор вопроса
    Юрий MikroTik, Сделал как вы описали, все работает, но очень медленно. Если при обычной конфигурации скорость 200+ mb/s, то сейчас 20mb/s download и 0 upload. У меня кроме defconf, правила с маркировкой и роута для маркированного трафика ничего нет. Железка hap ax^3.
    /interface wireguard
add listen-port=13231 mtu=1420 name=mullvad
/ip pool
add name=dhcp_ether2 ranges=192.168.77.10-192.168.77.254
/ip dhcp-server
add address-pool=dhcp_ether2 interface=ether2 name=dhcp1
/routing table
add disabled=no fib name=to_mullvad
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2

/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address=XXX.XX.XXX.XX endpoint-port=\
    51820 interface=mullvad name=mullvad-fin public-key=\
    "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX="
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.66.48.239 interface=mullvad network=10.66.48.239
add address=192.168.77.1/24 interface=ether2 network=192.168.77.0
/ip dhcp-server network
add address=192.168.77.0/24 dns-server=192.168.77.1 gateway=192.168.77.1
/ip firewall address-list
add address=192.168.77.0/24 list=local-for-eth2

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!local-for-eth2 \
    in-interface=ether2 new-routing-mark=to_mullvad passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=mullvad out-interface=mullvad \
    routing-mark=to_mullvad
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=mullvad routing-table=\
    to_mullvad scope=30 suppress-hw-offload=no target-scope=10
    Написано

  • Как заставить mikrotik тунелировать трафик только для одного входного интерфейса?

    @JohnSmith278 Автор вопроса
    velosipedist, Локалка это Vlan? Это не изобыточно для моей задачи?
    Написано

  • Как заставить mikrotik тунелировать трафик только для одного входного интерфейса?

    @JohnSmith278 Автор вопроса
    По возможности конкретизируйте, в терминах микротика, я не сетевик, мне слово сеть ни о чем конкретном не говорит. Vlan нужно создать?

    Из тех сопособов, что я находил - в firewall добавить правило с маркировкой трафика на forward. in Interface: ether2, Routing mark: "pass-to-vpn" action: passthrough.
    Дальше в роутах добавить правило: Dst Address: 0.0.0.0/0, Routing Table: "pass-to-vpn", но пока ничего не выходит.
    Не могу отдельно для ether2 правило создать, пишет что это slave интерфейс и нужно bridge1 использовать.
    Написано