Mikrotik 通过 vpn 从一个接口路由互联网流量

tag-icon tag-icon networking router vpn routing mikrotik-routeros
Mikrotik 通过 vpn 从一个接口路由互联网流量

以下是我当前的 mikrotik hAP lite 配置。如您所见,配置非常简单。我的网络中还有另一个路由器 (192.168.178.1),它执行 DHCP 并提供互联网连接。端口 ether1 是此路由器的上行链路。

所有连接到 ether2、ether3 和 wlan 的设备都应该在网络中,就像它们只是通过普通交换机连接一样。

这可行,但配置可能不是最佳的。如果我可以做得更好,请提出建议。

ether4 上的设备也应在网络中可用,并且还应能够正常访问网络上的所有其他设备,但是当 ether4 上连接的设备想要访问互联网时(即向默认网关 192.168.178.1 发出 DNS 请求或发送流量),此流量应重新路由并通过配置的 VPN 发送。VPN 的默认网关是动态分配的(它是名为 my-vpn 的 l2tpclient 接口),当前 IP 为 10.9.9.1。

您可能已经知道我尝试使用防火墙 mangle 规则,但没有作用。

我需要删除/更改/添加什么才能使其工作?

干杯,

塞巴斯蒂安

# jul/02/2017 19:49:03 by RouterOS 6.39.2
/interface bridge
add admin-mac=AA:BB:CC:AA:BB:CC auto-mac=no comment=defconf fast-forward=no \
    name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=germany disabled=no \
    frequency=auto mode=ap-bridge ssid=test wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
/interface l2tp-client
add connect-to=some.vpn.com disabled=no name=my-vpn password=\
    test user=test
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
    wpa-pre-shared-key=test wpa2-pre-shared-key=test
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=wlan1
add bridge=bridge interface=ether4
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    bridge
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
# in/out-interface matcher not possible when interface (ether1) is slave - use master instead (bridge)
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall mangle
add action=route chain=prerouting dst-address=192.168.178.1 log=yes \
    log-prefix=test passthrough=yes route-dst=10.9.9.1
/system clock
set time-zone-name=Europe/Berlin

相关内容