Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"Mikrotik маршрутизация на внутренний VPN сервер"	+/–
Сообщение от KomaLex (ok), 06-Фев-26, 05:01
Схема сети: Mikrotik RouterOS v7.19 в качестве шлюза, на нем так же поднят VPN Server Внутренняя сеть на бридже 192.168.11.252/24 Сеть для подключенных ВПН клиентов 10.22.11.0/24 Внутренний впн сервер на freebsd на нем тоже стоит впн клиент, он разделяет трафик, часть уходит в впн, часть должно обратно возвращаться на шлюз микротик 192.168.11.252 и уже с него уходить в интернет. Моя логика такая c впн клиентов на mikrotik маркеруем маршрут и перенаправляем на внутренний впн шлюз ip/firewall/mangle/add chain=prerouting action=mark-routing new-routing-mark=rt2vpnsplit passthrough=yes src-address=10.22.11.0/24 dst-address=!192.168.11.0/24 Соответственно маркированный маршрут отправляем на врутренний шлюз с впн ip/route/add dst-address=0.0.0.0/24 gateway=192.168.11.17 distance=1 routing-table=rt2vpnsplit Ну и я повешал нат, что бы во внутреннюю сеть пакеты уходили с адресом внутренней подсети на бридже микрота ip/firewall/nat/add chain=srcnat src-address=10.22.11.0/24 out-interface=br_ikc routing-mark=rt2vpnsplit action=masquerade После данных манипуляций по моей логике пакеты должны улететь на внутренний интерфей шлюза на фрибсд с адресом источника 192.168.11.252 На нем определяется по адресу назначения куда отправить пакет, в впн или вернуть обратно на шлюз. Вот тот трафик что уходит в впн, с ним нет проблем. А вот тот что должен вернуться обратно на микрот и с него уже улететь в интенет через ван интерфейс проблемы. Он не идет никуда. На внутреннем шлюзе фрибсд включен форвардин и пробовал с натом и без. Если с натом то добавляю такие правила в фаервол: /etc/rc.conf firewall_enable="YES" firewall_nat_enable="YES" firewall_script="/etc/firewall.rules" /etc/firewall.rules ipfw -q flush ipfw nat 1 config if em0 reset same_ports ipfw add 300 nat 1 ip from 192.168.11.252 to any via em0 Может кто то сталкивался с решением данной проблемы. Уже очень долго бьюсь, но он никак не хочет работать.
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от pavel_simple. (?), 09-Фев-26, 15:25	+/–
>[оверквотинг удален] > firewall_script="/etc/firewall.rules" > > /etc/firewall.rules > > ipfw -q flush > ipfw nat 1 config if em0 reset same_ports > ipfw add 300 nat 1 ip from 192.168.11.252 to any via em0 > > Может кто то сталкивался с решением данной проблемы. Уже очень долго бьюсь, > но он никак не хочет работать. нафига тут фряха, если ты всех клиентов натишь одним ip? итак, терминируем всех клиентов vpn на микротике. 1. У них своя сеть и кроме фильтров на для маршрутизации трафика на фряху ничего помечать не нужно, просто указывает маршрут для сети  10.22.11.0/24 в сторону фряхи. 2. На фряхе прописываем обратный маршрут до сети vpn клиентов через микрот. 3. Cмотрим tcpdump'ом что трафик от vpn клиента летит до фряхи. 4. Настраиваем nat на фряхе, по желанию
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от KomaLex (ok), 10-Фев-26, 04:37	+/–
> нафига тут фряха, если ты всех клиентов натишь одним ip? > итак, терминируем всех клиентов vpn на микротике. > 1. У них своя сеть и кроме фильтров на для маршрутизации трафика > на фряху ничего помечать не нужно, просто указывает маршрут для сети >  10.22.11.0/24 в сторону фряхи. > 2. На фряхе прописываем обратный маршрут до сети vpn клиентов через микрот. > 3. Cмотрим tcpdump'ом что трафик от vpn клиента летит до фряхи. > 4. Настраиваем nat на фряхе, по желанию freebsd нужен, потому что именно на нем настроен исходящий vpn канал. И на то есть причина, микрот не умеет того, что мне нужно для впн клиента. В каком смысле помечать не нужно? Ведь в таблице маршрутизации нельзя указывать источник, там можно только сеть назначения и с нулевой маской можно назначить маршруты для разных таблиц маршрутизации. Поэтому и помечаю в мангле маршрут. tracert показывает, что трафик идет до фряхи и обратно до микрота и вот там какой то затык. Вот так без ната на фрии:   1     1 ms    <1 мс    <1 мс  10.22.11.1   2     1 ms     1 ms     1 ms  192.168.11.17   3     *        *        *     Превышен интервал ожидания для запроса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от pavel_simple. (?), 11-Фев-26, 11:49	+/–
>[оверквотинг удален] >>  10.22.11.0/24 в сторону фряхи. >> 2. На фряхе прописываем обратный маршрут до сети vpn клиентов через микрот. >> 3. Cмотрим tcpdump'ом что трафик от vpn клиента летит до фряхи. >> 4. Настраиваем nat на фряхе, по желанию > freebsd нужен, потому что именно на нем настроен исходящий vpn канал. И > на то есть причина, микрот не умеет того, что мне нужно > для впн клиента. > В каком смысле помечать не нужно? Ведь в таблице маршрутизации нельзя указывать > источник, там можно только сеть назначения и с нулевой маской можно > назначить маршруты для разных таблиц маршрутизации. https://help.mikrotik.com/docs/spaces/ROS/pages/59965508/Pol... полиси на src net > Поэтому и помечаю в мангле маршрут. тоже варик, но немного странный, робит и ладно >[оверквотинг удален] > Вот так без ната на фрии: > >   1     1 ms     > <1 мс    <1 мс  10.22.11.1 >   2     1 ms     >  1 ms     1 ms  192.168.11.17 >   3     *     >    *         > *     Превышен интервал ожидания для запроса. > что на фри? что без ната? итак. 1. терминируем vpn клиентов на микроте 2. policy based routing (хоть через метку, хоть через src net) отправляем трафик на фряху 3. фряха чтото там делает с этим трафиком и возвращает на микрот (для этого на фряхе нужен маршрут до сети vpn клиентов) смотрим tcpdump на фряхе в случае проблем если к фряхе у нас доступ отсутствует: 1. терминируем vpn клиентов на микроте 2. делаем snat для клиентских ip подставляем в качестве адреса , адрес который смотрит в фряху
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема