Как правильно настроить маршрутизацию для VPN на устройстве MikroTik? 

У меня есть роутер CHR с настроенным SSTP сервером, который работает корректно и позволяет подключаться. Я хочу маршрутизировать трафик от клиента 1 (с IP 172.17.17.2) через клиент 2 (с IP 172.17.17.244). Роутер имеет IP 172.17.17.1. 

На роутере OpenWRT я добавил правило для отправки трафика в нужную мне локальную подсеть через шлюз по умолчанию с помощью команды: 
`ip route add default via 172.17.17.244 table 99`.

Я заметил, что трассировка изменилась, и трафик теперь идет к VPN-серверу. Однако, после этого он покидает VPN-сервер через его собственный шлюз по умолчанию вместо того, чтобы отправляться к IP клиента 2. 

Не могли бы вы объяснить, почему возникает такая ситуация и как настроить Mikrotik так, чтобы он не перехватывал трафик? С ping и ssh между клиентами проблем нет, NAT и masquerade настроены.
  • 14 апреля 2025 г. 12:55
Ответы на вопрос 2 
Если ваш VPN-сервер MikroTik маршрутизирует трафик обратно через свой собственный шлюз по умолчанию, это обычно связано с тем, что настройки маршрутизации на MikroTik не позволяют правильно обрабатывать выездные пакеты от клиента 1 (IP: 172.17.17.2) к клиенту 2 (IP: 172.17.17.244). Вы хотите, чтобы трафик от клиента 1 проходил через клиент 2 и не уходил на шлюз VPN-сервера.

Вот шаги, которые помогут вам правильно настроить маршрутизацию на MikroTik:

1. **Настройка маршрутов**: Создайте маршруты для трафика, чтобы MikroTik знал, как обрабатывать запросы от клиента 1 через клиент 2. Вам нужно добавить статический маршрут для направления трафика от клиента 1 к клиенту 2.

   Например, вы можете использовать следующую команду на MikroTik:

   ```plaintext
   /ip route add dst-address=172.17.17.244/32 gateway=172.17.17.244
   ```

2. **Настройка правил для Policy Routing**: Вам нужно будет создать правила маршрутизации для управления тем, как MikroTik будет обрабатывать выходящие пакеты от клиента 1.

   Пример:

   ```plaintext
   /ip rule add src-address=172.17.17.2 table=99
   ```

   Убедитесь, что у вас есть соответствующая таблица маршрутизации, которая направляет трафик через клиент 2.

3. **Настройка NAT**: Убедитесь, что правила NAT не конфликтуют с вашей маршрутизацией. Вам нужно настроить masquerade или NAT для имитации исходящих адресов, чтобы пакеты от клиентского IP выглядят как исходящие с IP клиент 2, если это необходимо.

   Пример:

   ```plaintext
   /ip firewall nat add chain=srcnat src-address=172.17.17.2 out-interface=<интерфейс на клиент 2> action=masquerade
   ```

4. **Проверка маршрутов**: Убедитесь, что маршруты и правила работают корректно. Вы можете использовать команду `traceroute` для диагностики маршрута ваших пакетов.

5. **Проверка правил Firewall**: Убедитесь, что настройки firewall на MikroTik не блокируют трафик, который должен проходить через клиент 2.

Если после выполнения этих шагов проблема сохраняется, проверьте, проходят ли пакеты через интерфейс, соответствующий клиенту 2, и корректны ли настройки NAT на всех устройствах. Могут быть дополнительные нюансы, которые зависят от вашей сетевой конфигурации, поэтому внимательно просматривайте логи и применяйте трассировку для диагностики.
зачем Вам два маршрутизатора? это как-то странно.. 
 у Вас маршрутизатор в сети должен быть один - он и разруливает весь трафик 
 конечно бывает разное ... но нужно понять что Вы хотите сделать в целом ? 
 Возможно есть более правильное решение. 
 Маршрутизацию Вам нужно настраиваит на основном маршрутизаторе (ну т.е. на CHR).
Похожие вопросы
    Показать ещё