1

ниже мой текущий конфиг моего mikrotik HAP Lite. Как видите, конфиг довольно простой. У меня есть другой маршрутизатор в моей сети (192.168.178.1), который выполняет DHCP и обеспечивает подключение к Интернету. Порт ether1 является восходящей линией связи с этим маршрутизатором.

Все устройства, подключенные к ether2, ether3 и wlan, должны быть в сети, как если бы они были просто подключены через обычный коммутатор.

Это работает, но конфиг не может быть оптимальным для этого. Если я могу сделать лучше, пожалуйста, сообщите.

Устройство на ether4 также должно быть доступно в сети, а также должно иметь возможность доступа ко всем остальным устройствам в сети, как обычно, однако, когда устройство, подключенное к ether4, хочет получить доступ к Интернету (= то есть отправлять DNS-запросы или отправлять трафик) через шлюз по умолчанию 192.168.178.1) этот трафик следует перенаправить и вместо этого отправлять через настроенный VPN. Шлюз VPN по умолчанию назначается динамически (его интерфейс l2tpclient с именем my-vpn) и в настоящее время имеет ip 10.9.9.1.

Как вы, вероятно, можете сказать, я пробовал это с правилом искажения брандмауэра, но это не сработало.

Что мне нужно удалить / изменить / добавить, чтобы сделать эту работу?

Ура,

Себастьян

# jul/02/2017 19:49:03 by RouterOS 6.39.2
/interface bridge
add admin-mac=AA:BB:CC:AA:BB:CC auto-mac=no comment=defconf fast-forward=no \
    name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=germany disabled=no \
    frequency=auto mode=ap-bridge ssid=test wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
/interface l2tp-client
add connect-to=some.vpn.com disabled=no name=my-vpn password=\
    test user=test
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
    wpa-pre-shared-key=test wpa2-pre-shared-key=test
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=wlan1
add bridge=bridge interface=ether4
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    bridge
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
# in/out-interface matcher not possible when interface (ether1) is slave - use master instead (bridge)
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall mangle
add action=route chain=prerouting dst-address=192.168.178.1 log=yes \
    log-prefix=test passthrough=yes route-dst=10.9.9.1
/system clock
set time-zone-name=Europe/Berlin

0