VPN-internet для одного IP-пользователя

Тема в разделе "Вопросы начинающих", создана пользователем Ascana, 11 янв 2021.

  1. Ascana

    Ascana Новый участник

    Добрый день.
    Помогите, пожалуйста, разобраться с маркировкой маршрута для одного пользователя => VPN.
    Создаю VPN-клиента в /ppp. Коннект создаётся.
    Если я этому интерфейсу ставлю галочку "маршрут по умолчанию", то через VPN работают все пользователи домашней сети. Speedtest.net выдаёт скорость ~25 mbps на приём и ~25 mbps на отправку. Всё отлично:
    Снимок экрана_2021-01-15_09-13-39.png
    Но вот если галочку "маршрут по умолчанию" я не ставлю (требуется только для одного компьютера), то маршрут приходится прописывать в /firewall mangle. Вот так я прописал правило:
    Код:
    /ip firewall mangle
    add chain=prerouting action=mark-routing new-routing-mark=vpn-mark passthrough=no connection-nat-state=!dstnat src-address-list=grp-ToVPN dst-address-list=!local
    Где local - локальная сеть, например, 192.168.88.0/24;
    grp-ToVPN - IP компьютера, который выходит в интернет через VPN, например, 192.168.88.254.
    Маркировку vpn-mark отрабатываю в /ip route, заворачивая в vpn-интерфейс:
    Код:
    /ip route
    add distance=1 gateway=vpn routing-mark=vpn-mark
    Вроде бы интернет должен работать так же. Но вот Speedtest.net при такой конфигурации выдаёт скорость ~25 mbps на приём и 0 mbps на отправку:
    Снимок экрана_2021-01-15_09-04-25.png
    На отправку - 0! И что бы я не пробовал - без толку.
    Что я пробовал:
    • менял оператора услуги VPN;
    • менял вид VPN (OVPN, L2TP+IPSec, IPSec);
    • сбрасывал конфигурацию на Default и на "чистой" добавлял VPN;
    • менял устройство Mikrotik (hAP ac lite, hAP ac, hEX).
    Подскажите, что может влиять на "невозможность отправки пакетов"?
     
    Последнее редактирование: 20 янв 2021
  2. Tycoon

    Tycoon Участник

    Если вам нужно чтобы только один пользователь домашней сети работал через vpn то может проще только на нём и поднять vpn client, а не соединять через два микротика и т.д. ?
     
  3. Ascana

    Ascana Новый участник

    Вопрос резонный, но не так всё просто. Под словом "один", я подразумеваю "группу" (список). На следующем этапе я должен буду создать правило "когда включать/выключать выход через VPN".
     
  4. Ascana

    Ascana Новый участник

    Может ли такое происходить из-за пустых полей Local address и Remote address вкладки "Status" VPN-соединения?
    upload_2021-1-15_9-21-52.png
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    А NAT настроили с маскарадом?
     
  6. Ascana

    Ascana Новый участник

    Да, Илья. Вот так настроен:
    Код:
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    add action=masquerade chain=srcnat out-interface=all-ppp
    
    Первое правил от дефолтного конфига. Второе - я добавил, но оно не отрабатывается, потому что созданный VPN-интерфейс добавлен в список WAN.
     
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Извините, слона-то я и не заметил.
    Конечно может. Маскарад в этой ситуации не понимает в какой адрес NAT-ить,
     
  8. Ascana

    Ascana Новый участник

    Как быть?
    Интересно, что в /ip routes ip-адреса есть:
    upload_2021-1-20_16-57-28.png

    Я пробовал для этого соединения создавать профиль (на основе default-encryption), где указывал Local-address и Remote-address, но это ни на что не повлияло. Поля у установившегося соединения не заполнились.
     
    Последнее редактирование: 20 янв 2021
  9. Ascana

    Ascana Новый участник

    Поменял OVPN на L2TP+IPSec. IP-адреса у такого соединения отображаются:
    upload_2021-1-21_21-37-43.png
    Но дело со скоростью не изменилось:
    upload_2021-1-21_21-49-6.png
    Разве что 0,00 сменился 0,05