Здравствуйте коллеги и всех с НГ 2020! Долго я мучился, но всё же попрошу помощи. Необходимо настроить нат используя vpn подключение. Топология такая, wan настроен статически (никаких DHCP) Локальная сеть 192.168.100.0/24 шлюз 192.168.100.1 (сам Mikrotik) В локальной сети нат работает без проблем. Создаю подключение VPN Client OVPN, подключение поднимается без проблем, работает, пингуются любые адреса интернета (через инструменты в winbox с указанием исходящего интерфейса) Но вот никак не могу заставить натить трафик из локальной сети используя это vpn подключение Что было сделано: 1) Создан VPN Client OVPN и работает (без галки add default route) 2) Ip firewall nat было настроено правило маскарадинга для этого интерфейса 3) ip route был прописан маршрут 0.0.0.0/0 с GW инетерфейс vpn client Скриншоты прикрепляю. Тестовый компьютер под IP 192.168.100.50
2 пути. 1. Пишем маршрут (АДРЕС VPN-сервера)->93.189.149.65 и убираем 0.0.0.0/0 на этот шлюз. Интернет будет работать, только если поднят VPN-клиент 2. Создаем маршрут 0.0.0.0/0 ->VPN с Route-mark. Маркируем в мангле пакеты этим маршрутом.
Спасибо. Пошёл по второму пути, всё работает. При отключении vpn клиента, нат начинает работать через основной маршрут. Как можно запретить выход в интернет на компьютере в локальной сети при отключении vpn клиента на маршрутизаторе ?
2 пути 1. /ip route rule src-address=LAN route-mark=ваша_маркировка action=lookup-only-in-table table=ваша маркировка 2. /ip firewall filter add chain=forward in-interface=LAN out-interface=!VPN action=reject
Спасибо за оперативную помощь. Обязательно пройду Ваше обучение и как я понимаю таких вопросов у меня не будет возникать)
1-й вариант работает, но при отключении vpn клиента на адреса инета идут пинги и работает трассировка с основного маршрута. Как бы эту возможность убрать. По сути мне для нескольких компьютеров в локальной сети необходимо убрать возможность увидеть внешний ip адрес провайдера. Поэтому я пускаю их в интернет через vpn и при его отключении не должно быть доступа вообще, но только для 3-х компьютеров. 2-й вариант не подходит т.к при указании исходящего интерфейса vpn, всё перестает работать, как я понимаю в связке с vpn клиентом исходящим интерфейсом всё равно является основной wan интерфейс
Илья, спасибо за помощь. Конфиг для меня это конфиденциальная вещь, не хочу его показывать всем. Оставлю как есть, постараюсь в скором времени пройти у Вас обучение. Ещё раз спасибо за помощь