Как направить трафик каждого клиента в отдельный тоннель?

Dmitry Tallmange: Спасибо огромное. Все заработало. Действительно все просто. Единственно, в маршрутах не ноли писал, потому как в рабочем тоннеле нет интернета. И пока еще не разобрался, как трафик из самого роутера направить в один из тоннелей. Пинги, получается идут после добавления правил только с локальных машин. Ну то есть без дефолтного маршрута микротик говорит -no route to host-. А в остальном, я думаю, с Вашей помощью разобрался. Еще раз спасибо.

Как направить трафик каждого клиента в отдельный тоннель?

Dmitry Tallmange:

все подключения идут с внешнего адреса PPTP_2

Главное для них то, что они идут с Конкретного провайдера, не из blacklist-а).

Рекомендую пойти путем, описанным выше: создать маршрут по умолчанию в 0.0.0.0/0 для каждого тоннеля, и правилами отсечь локальный трафик. Именно все нолики, а не только 10.0.0.0/8

Немного недопонял. Маркируем соединения? все практически тоже самое, только 0.0.0.0/0?

Как направить трафик каждого клиента в отдельный тоннель?

Dmitry Tallmange: Верно. Я прикидываюсь клиентами.

Совсем не ясны правила и ограничения

Нельзя работать из зоны АТО.

Как направить трафик каждого клиента в отдельный тоннель?

Dmitry Tallmange: Спасибо. Возможно, я не передал суть до конца.
Я попробую просто взять конкретный пример.

Сидит сотрудник дома. У него есть учетка, выданная предприятием (сервер PPTP_1). Например: user1.
Утром user1 должен запустить рабочий VPN, запустить звонилку с CRM и работать. На сервере контролируют IP адрес, с которого клиент присоединился к сети. Он может ходить из дома и в обход моего микротика, напрямую до PPTP_1. Но тогда начнуться вопросы, с какого провайдера он вышел.
Также, я не могу на своем микротике поднять один тоннель до предприятия (что было бы гораздо проще и логичнее) поскольку в таком случает на PPTP_1 будет авторизоваться только одна учетка, опять таки возникнут вопросы. + Если я всех сотрудников направлю в один тоннель до предприятия, мне не хватит ширины канала. Поскольку до PPTP_1 более 20 Мбит/с на один тоннель скорость не поднимается. Хочу обратить внимание, что доступа к настройкам и параметрам PPTP_1 у меня нет никакого.
На счет трафика. По всем тоннелям гуляет лишь рабочий трафик. PPTP_1 не раздает интернет. То есть только лишь звонилка с адресом сервера 10.3.5.xxx и ftp сервер 10.3.5.xxx. Таким образом клиент client_A прописывает единственный маршрут на локальной машине у себя (route add -p 10.3.5.0/24 192.168.0.122), где 192.168.0.122 адрес присвоенный ему микротиком. Подсеть тут не важна поскольку между собой клиенты могут не иметь никакой связи. Им лишь нужно добраться обходным путем через pptp_2 до PPTP_1. Клиенты в лок сети микротика (192.168.88.0/24) ходят тоже каждый в свой тоннель.
Надеюсь, я правильно понял Ваш вопрос и уточнил необходимые для решения вопроса детали. Заранее спасибо за терпение).
P.S. Соединение для client_A промаркировано. Маршрут также промаркирован. Правило создал вчера по вашему описанию. Пакеты ходят корректно. Загвоздка в локальных клиентах. Для них также были созданы отдельные правила. Трассировка и пинги до сервера PPTP_1 идут нормально. НО без add check-gateway=ping distance=50 dst-address=10.0.0.0/8 type=prohibit не работает сервис звонилки (в моем случае Oktell)

Как направить трафик каждого клиента в отдельный тоннель?

Да, я прошу прощения в очередной раз что, возможно, недостаточно корректно пояснил задачу.

Сотрудники работают в колл центре. Все удаленщики (работают из дома). На офисе pptp сервер PPTP_1. Я со своим микротиком промежуточное звено с белым IP и являюсь pptp_2 сервером для них и клиентом для офиса. Каждому сотруднику выдан свой логин и пароль. Адрес PPTP_1 сервера один для всех нас. Я и еще несколько человек коллег работаем в одной лок. сети. Остальные подключаются по pptp ко мне. Все рабочие vpn соединения до удаленного офиса поднимаю я у себя. Это необходимо, чтоб у все сотрудников светился IP Киеивстара. Требование такое. Суть в том, чтоб трафик от каждого конкретного клиента на Mikrotik ходил в свой тоннель до PPTP_1.

То есть pptp_2_Client_A идет по тоннелю для PPTP_1_Client_A, "B" идет в "В" и так далее.

Как направить трафик каждого клиента в отдельный тоннель?

Клиенты, которые подключаются по pptp не нуждаются в наличии правила add check-gateway=ping distance=50 dst-address=10.0.0.0/8 type=prohibit почему-то.

На скрине маршрут автоматом созданный при подключении нескольких pptp-client на микротике, через которые и нужно гонять рабочий трафик звонилке и базе.

Как направить трафик каждого клиента в отдельный тоннель?

Я понял вопрос Ваш.

Есть 2 тоннеля с адресом шлюза: 10.3.5.128
/ip route add dst-address=10.0.0.0/8 gateway=10.3.5.128 routing-mark=gw1
/ip route add dst-address=10.0.0.0/8 gateway=10.3.5.128 routing-mark=gw2

Шлюз во всех тоннелях один. Тоннели отличаются лишь полученными локальными адресами. То есть:


Локальная сеть 192.168.88.0/24

Как пробросить порты Mikrotik для подключения к удаленному рабочему столу?

да. спасибо большое. я, в принципе об этом и спрашивал. С удовольствием прочту вашу статью.

Как пробросить порты Mikrotik для подключения к удаленному рабочему столу?

спасибо большое.

Как пробросить порты Mikrotik для подключения к удаленному рабочему столу?

не пойму почему dst-address на сервере - адрес сервера? Мне вроде как надо бы на лок. машину стучаться. на 192.168.88.9 которая находится за сервером и за вторым микротиком...

Как пробросить порты Mikrotik для подключения к удаленному рабочему столу?

Можно поменять. "Бродкаст ходил" - немного не понял.

Как пробросить порты Mikrotik для подключения к удаленному рабочему столу?

Маскарадинг включен.
Спасибо за советы.

Как объединенить 2-х клиентов через сервер Mikrotik?

Sergey E.: Кстати, спасибо большое за подсказку на счет маршрутов.

Как объединенить 2-х клиентов через сервер Mikrotik?

Создал L2tp соединение на клиенте win7. Пинги пошли и без маршрутов. Несколько раз перепроверил. Такое может быть????

Как объединенить 2-х клиентов через сервер Mikrotik?

у меня плохо работает сеть с ручным маршрутом. Когда подсеть в pptp брал не "7" а "0" (то есть не нужно было маршрут прописывать) пинги были до 40 мс. Теперь же с маршрутом совсем плохо. Ниже 76 не опусаются и пакеты выпадают. 2-4% потерь. Подможете в метрике? Я скрин выложу. Может что не так.

Как объединенить 2-х клиентов через сервер Mikrotik?

а еще есть возможность настроить dhcp на тоннель я так понял? и еще нужно знать вот это habrahabr.ru/post/239141 если я правильно понял...

Как объединенить 2-х клиентов через сервер Mikrotik?

проще вручную прописать маршруты на клиенте????

Как получить доступ к удаленному ftp серверу через vpn на mikrotik?

Все заработало. Нужно было конфиг самой проги править. И плюс настроить MTU для PPTP соединения. Спасибо большое за помощь. Все работает.

Как получить доступ к удаленному ftp серверу через vpn на mikrotik?

Да, так и есть. Они отличаются кардинально. Именно как у вас в примере. А прокси нужно включить, я так понял, на приемном порту от провайдера. Потому как на тоннеле впн это не сделать. Спасибо за совет.

Как получить доступ к удаленному ftp серверу через vpn на mikrotik?

Простите. Октел-ip звонилка. У меня клиентская часть на компе. Соединяюсь с сервером через тот же впн. Авторизация на сервере происходит по логину и паролю. А также в авторизации участвует имя компьютера. То есть в связке с логином и паролем, прописанным на серваке я могу авторизоваться только с компьютера с именем Lenovo (в данном конкретном случае). При попытке авторизации на сервере октел через тоннель, запущенный на микротике (а не на компьютере) выскакивает ошибка авторизации как на скриншоте. Как-то так.