by George
on 17 апреля, 2024

1. Добавляем сайты в Address Lists

В первую очередь нам надо добавить наш сайт в address list. Подключаемся к нашему роутеру и открываем раздел ip->firewall->address list. Нажимаем на «+», чтоб добавить наш сайт.

И в Address пишем FQDN нашего сайта:

Нажимаем ОК. Mikrotik сам резольвит наше имя в адрес/адреса, если их несколько:

То же самое в терминале:

 ip firewall address-list add comment="facebook.com" address=facebook.com list=Sites-to-2-I
SP

2. Создаем правила обработки пакетов

Сначала нам надо создать таблицу маршрутизации для нашего правила

Открываем раздел Routing->Tables и нажимаем на «+», даем имя нашей таблице и ставим галочку fib

*В статьях в интернете этот пункт пропущен, возможно в старых версиях RouterOS эта таблица создавалась сама, но мне не дало так сделать (я стараюсь делать все из терминала, так быстрее и понятнее, выдывало ошибку, пока я не создал эту таблицу вручную)

То же самое в терминале:

routing table add disabled=no fib name=VPN-out

Следующим шагом пропишем маршрут. У меня отдельно поднят VPN на ubuntu, изначально создан был для скачивания обновлений clamav, (его ip пусть будет 10.20.1.2, на нем надо настроить nat но это отдельная статья), и мы направим трафик через него

Открываем раздел IP->Routes, нажимаем «+» , прописываем адрес нашего VPN и указываем таблицу маршрутизации, созданную на предыдущем шаге

Если у Вас это другой WAN интерфейс, или VPN — прописываем здесь имя этого интерфейса. То же самое в терминале:

ip route add comment="Route to VPN " distance=1 dst-address=0.0.0.0/0 gateway=10.20.1.2 routing-table=VPN-out

3. Помечаем пакеты

Теперь нам надо пометить наш пакет, чтобы направить его в нужный маршрут

Открываем раздел IP->Firewall->Mangle и нажимаем «+» для создания правила.

Chain — prerouting — маркируем пакеты до принятия решения о их маршрутизации, Dst. Address List — Sites-to-2-ISP указываем имя созданного на 1 шаге Address List, In. Interface — !WAN — теоретически такие пакеты не должны появиться на WAN интерфейсе, но если вдруг — нам их маркировать не надо.

Переходим в закладку Action

В Action выбираем mark routing, New Routing Mark — созданная на втором шаге таблица маршрутизации

То же самое в терминале:

ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=Sites-to-2-ISP new-routing-mark=VPN-out passthrough=yes

4. Заключение

Итак, теперь мы знаем, как направить траффик через другой интерфейс\провайдера\vpn. Но в том виде, в котором написана эта статья, заблокированные в России ресурсы работать не будут. В примере не просто так указан facebook, я сам им не пользуюсь, а хотел использовать при написании этой статьи, но он так и не заработал. Потому, что помимо facebook.com там используется еще целый набор адресов, которые не идут через наш VPN. Как это обойти читайте в статье «как разделить трафик»

Categories:

MikroTik

Tags:

Определенные сайты через vpnОпределенные сайты через другой интерфейс

No responses yet

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *