Задача: доступ к определенным ресурсам через VPN (L2TP+IPSEC / PPTP ). Можно сказать, что это ответвление от статьи «Установка Mikrotik CHR на VPS с CentOS 7 за 5 минут«.
- Подключаемся к нашему L2TP или PPTP-серверу с нашего Mikrotik
- в RouterOS7 потребуется сначала добавить RoutingMark отдельно:
/routing table add fib name=MarkToVPN
Подготовим Mangle-правило под себя:
/ip firewall mangle add action=mark-routing chain=prerouting comment="Mark Traffic_via_VPN" dst-address-list=RouteTrafficOutside new-routing-mark=MarkToVPN passthrough=no src-address=10.10.17.0/24
Где,
- dst-address-list=RouteTrafficOutside — название address-list
- new-routing-mark=MarkToVPN — маркируем трафик меткой MarkToVPN
- src-address=10.10.17.0/24 — ваша локальная сеть из под которой вы собираетесь ходить на указанные в address-list ресурсы
- Подготовим дополнительный маршрут по умолчанию:
/ip route add comment=Mark Traffic_via_VPN distance=2 gateway=l2tp-VPN routing-mark=MarkToVPN
Где,
- distance=2; тогда весь остальной трафик продолжить ходить по default-маршруту с distance 1, а избранные в address-list ресурсы — через l2tp-VPN
- gateway=l2tp-VPN — указываем наш l2tp-out или pptp-out до нашего VPN сервера
- routing-mark=MarkToVPN — указываем нашу метку
- Наконец, подготовим список хостов, на которые мы хотим ходить через наш VPN, например такие:
/ip firewall address-list add address=apple.com comment=ORIGINAL list=RouteTrafficOutside /ip firewall address-list add address=2ip.ru comment=ORIGINAL list=RouteTrafficOutside
- А также, добавляем src-nat Masquarade для вашей сети через Интерфейс L2TP-out до вашего VPN
Вот и все! Вы можете расширить список хостов, которые по той или иной причине вы хотите посещать через VPN уже своими силами, копируя уже созданные записи и подставляя новые доменные имена или IP-адреса.