[Diamont]

Удалённые клиенты подключаются к микротику по впн. В свою очередь он подключается к другому роутеру тоже по впн. При этом сам служит обычным домашним роутером и его клиенты ходят в инет напрямую, минуя все впн. Я хочу чтобы клиенты которые подключаются к VPN микротика ходили на внешний VPN. Локальные клиенты микротика при этом должны ходить напрямую как и до создания тоннелей.

Если можно пример конфига ип/роуты и фаервол. Так как именно там нужно настраивать, на сколько я понимаю.

[Saab95]

Создаете несколько маршрутов на 0.0.0.0/0 через шлюзы туннелей. Указываете им имена.

В манглах создаете правило маркировки маршрута, выбираете src адрес подсети и все - они завернуться в нужный туннель. Если адресов много, и надо не все заворачивать в маршрут - создаете адрес листы.

 

Кто в правила не попадает - пойдет по обычной схеме.

[Diamont]

Не с первого раза, но вроде заработало. Добавил всего 3 правила в соответствующих разделах. Плюс поднял РРТР клиент. Там всё как обычно, галочка дефолт роут не поставлена. Всё по феншую?

 

 

chain=srcnat action=masquerade src-address=192.168.10.0/24 log=no log-prefix=""

 

chain=prerouting action=mark-routing new-routing-mark=VPN passthrough=yes src-address=192.168.10.2 log=no log-prefix=""

 

dst-address=0.0.0.0/0 gateway=pptp-out1 gateway-status=pptp-out1 reachable distance=1 scope=30 target-scope=10 routing-mark=VPN

[Saab95]

Под маскардинг не должен попадать трафик, который идет в туннель, если его надо видеть с той стороны под своими адресами. Дефолт роут ставить не надо, иначе все в него пойдет, а раз он туннель то все отвалится.

[Diamont]

Настроил.