Стандартный подход (я использую для доступа к внутренним корпоративным ресурсам из домашней сети):
1. поднимает VPN подключение с сетевым интерфейсом
2. создаем таблицу маршрутизации, где маршруты по-умолчанию (да, можно несколько для отказоустойчивости поднять) используют ваш тоннель
3. в фаерволе создаем адрес лист с нужными правилами: это может быть IP назначения или внутренний IP источника или доменное имя
4. в фаерволе помечаем трафик, который идет на нужные адрес листы для использования таблицы маршрутизации из 2
Если в адреслист вставить домен, то микротик периодически сам запрашивает IP адреса и добавляет их в адрес листы, но это не всегда хорошо работает с распределенными системами.
1. если клиент использует другие dns сервера, не свой роутер, а, например гугловые, то роутер добавит в фильтр одни IP, а 8.8.8.8 вернет другие IP, которые ближе к гуглу, а не к роутеру.
2. если IP очень много, особенно, это я наблюдал с IPV6, то в DNS ответ попадает только часть их и получается, что каждый раз будет приходить разный список адресов
3. микротик сохраняет только последние IP адреса, соответственно, в роутере будет маршрутизация для 2-4 IP адресов этого домена, а не целой подсети.
Эти проблемы можно решить 2мя способами
1. Руками собрать список IP адресов сервиса, есть гугл для этого, некоторые сервисы сами публикуют эту информацию. Соовтетственно, в адрес листы добавить руками или скриптом все подсети
2. Использовать L7 фильтрацию по домену, но она не всегда работает качественно, и очень сильно грузит процессор роутера
Ну нормальный микротик сейчас выходит за рамки бюджета и рекомендовать его не сетевому инженеру я бы не стал, т.к. уровень вхождения выше, чем у остальных Soho решений и ближе уже к Cisco.
Но это 100% можно реализовать на микротике, сам пользую лет 5, но неподготовленному человеку даже по мануалам будет сложно реализовать.
Ну и по модели правильно написали, что зависит от потребностей, а том можно на советовать полный фарш, я вон год назад, когда цены взлетели на сетевое оборудование насчитал своих тиков на 150к рублей.
Такое себе не каждая страна может позволить. Свой сервер - мелочь в DNS, главное купить зону или домен, те же хостеры сейчас при покупке домена дают сервер бесплатно. В вашем случае будет работать бесплатно, если прописывать везде ваш сервер, например в пределах локальной сети.
Я в свое время заменил CRS на RB4011 как раз по причине того, что свитч не может прокачать полноценно гигабит, особенно IPV6 , на котором нет fasttrack, а свитч теперь выполняет основные свои функции: разделяет транк с вланами от роутера по портам.
В вашем случае, если локалка не видна, то можно попробовать ограничивать скорость порта при помощи свитча, тогда общая производительность не будет теряться, но этот шейнинг самый тупой из всех вариантов.
В такой схеме из сети 192.168.88.0/24 при помощи ната все адреса будут транслироваться в 192.168.1.20 и отправляться на 2 роутер, а он в свою очередь будет при помощи ната транслировать эти адреса в сеть 1.1.1.1
Надо понимать, что при наличии 2х адресов у роутера 1 (192.168.88.1 и 192.168.1.20) на роутер 2 будут уходить только из сети 1.0/24 а о сети 88.0/24 он ничего не будет знать.
Если же надо, чтобы работала схема
[PC 192.168.88.100] ---- [LAN:192.168.88.0/24] --- [ROUTER1:192.168.88.1] ---- [LAN 192.168.88.0/24] ---- [192.168.88.2:ROUTER2:1.1.1.1] ---- [INTERNET], то это очень сложно реализовать
Подмена TTL нужна только для дополнительного скрытия факта ната, например, по этому параметру сотовые операторы определяют факт раздачи Интернета через мобильный телефон по WiFI
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Стандартный подход (я использую для доступа к внутренним корпоративным ресурсам из домашней сети):
1. поднимает VPN подключение с сетевым интерфейсом
2. создаем таблицу маршрутизации, где маршруты по-умолчанию (да, можно несколько для отказоустойчивости поднять) используют ваш тоннель
3. в фаерволе создаем адрес лист с нужными правилами: это может быть IP назначения или внутренний IP источника или доменное имя
4. в фаерволе помечаем трафик, который идет на нужные адрес листы для использования таблицы маршрутизации из 2
Если в адреслист вставить домен, то микротик периодически сам запрашивает IP адреса и добавляет их в адрес листы, но это не всегда хорошо работает с распределенными системами.
1. если клиент использует другие dns сервера, не свой роутер, а, например гугловые, то роутер добавит в фильтр одни IP, а 8.8.8.8 вернет другие IP, которые ближе к гуглу, а не к роутеру.
2. если IP очень много, особенно, это я наблюдал с IPV6, то в DNS ответ попадает только часть их и получается, что каждый раз будет приходить разный список адресов
3. микротик сохраняет только последние IP адреса, соответственно, в роутере будет маршрутизация для 2-4 IP адресов этого домена, а не целой подсети.
Эти проблемы можно решить 2мя способами
1. Руками собрать список IP адресов сервиса, есть гугл для этого, некоторые сервисы сами публикуют эту информацию. Соовтетственно, в адрес листы добавить руками или скриптом все подсети
2. Использовать L7 фильтрацию по домену, но она не всегда работает качественно, и очень сильно грузит процессор роутера