Что такое VPN – я думаю объяснять никому не нужно, как известно, виртуальная частная сеть – позволяет настроить сетевое соединение (логическую сеть) поверх другой сети, например Internet. Предположим что мы имеем обычное интернет подключение и хотели бы получить доступ к сайтам, которые доступны только в определенной стране. Например, нам нужно получить доступ к какому-нибудь ресурсу расположенному в Германии, но с российским IP мы этого не можем сделать, т.к. при входе на этот ресурс проверяется географическая принадлежность посетителя. Выходом в этом случае может послужить использование прокси или VPN-сервера, расположенного в той же стране, в нашем случае, в Германии. При поднятии VPN подключения вашему ПК / маршрутизатору присвоится внешний IP VPN-сервера и все посещаемые вами ресурсы в интернете будут думать что вы находитесь именно в Германии. Однако, это не всегда удобно. Поэтому использование VPN нужно ограничить политиками (как раз здесь и имеются ввиду PBR), чтобы для одних ресурсов траффик шел именно через VPN, а для других – через обычное соединение.
Открываем WinBox или web-интерфейс Mikrotik и в Interfaces на вкладке Interface List добавляем новый PPTP Client, на вкладке General указываем имя (Name) интерфейса – noname.
Hа закладке Dial-Out параметры подключения, галочку Add Default Route не ставим, т.к. в этом случае VPN станет основным маршрутом для всего траффика, а мы хотим настроить доступ только к определенным ресурсам через VPN. Итак, VPN соединение у нас поднято и работает, осталось только настроить NAT для локальной сети и определить маршруты и политики их использования.
/ip firewall nat add action=masquerade chain=srcnat out-interface=noname
добавляем NAT, т.е. все что идет через VPN у нас NAT’ится.
/ip route add dst-address=0.0.0.0/0 gateway="hideme-vpn" routing-mark=through_vpn
добавляем еще один маршрут на 0.0.0.0/0 (т.е. все IP, все сети) через hideme-vpn, но дополнительно указываем routing-mark – through_vpn. Т.е. через VPN у нас будут отправляться только те пакеты, для которых у нас указано соответствующее правило маркировки. И теперь нам осталось только задать это правило.
/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=through_vpn new-routing-mark=through_vpn passthrough=no
этим правилом мы говорим, что для всех IP адресов из списка through_vpn нам необходимо применять новое правило маршрутизации с именем указанным в new-routing-mark, т.е. through_vpn.
/ip firewall address-list add address=178.63.151.224 list=through_vpn
и наконец добавляем адрес 178.63.151.224 в список IP адресов подлежащих маршрутизации через VPN, т.е. список с именем through_vpn.
К слову, IP 178.63.151.224 принадлежит сервису 2ip.ru. Теперь если мы посмотрим трассировку маршрута до 2ip.ru с ПК подключенного к Mikrotik, то увидим следующее:
tracert 2ip.ru
Трассировка маршрута к 2ip.ru [178.63.151.224]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс router [172.17.111.1]
2 51 ms 51 ms 51 ms 10.112.192.1
3 52 ms 52 ms 52 ms 50.7.86.241
4 52 ms 52 ms 52 ms be4434.rcr21.b023657-1.fra03.atlas.cogentco.com [149.6.42.161]
5 52 ms 52 ms 52 ms be2589.ccr42.fra03.atlas.cogentco.com [154.54.56.113]
6 58 ms 58 ms 58 ms be2229.ccr22.muc03.atlas.cogentco.com [154.54.38.58]
7 60 ms 60 ms 60 ms be2270.rcr21.nue01.atlas.cogentco.com [154.54.37.217]
8 60 ms 60 ms 60 ms te0-0-1-1.nr11.b040138-0.nue01.atlas.cogentco.com [154.25.0.14]
9 60 ms 60 ms 59 ms 149.6.158.6
10 60 ms 60 ms 60 ms core11.hetzner.de [213.239.203.137]
11 62 ms 62 ms 62 ms core22.hetzner.de [213.239.245.226]
12 62 ms 62 ms 62 ms juniper2.rz10.hetzner.de [213.239.245.46]
13 64 ms 63 ms 66 ms hos-tr4.ex3k1.rz10.hetzner.de [213.239.227.226]
14 62 ms 62 ms 62 ms node2.barznet.de [188.40.35.142]
15 62 ms 62 ms 63 ms static.224.151.63.178.clients.your-server.de [178.63.151.224]
Трассировка завершена.
Здесь 10.112.192.1 – это удаленный адрес нашего VPN-туннеля (не путать с внешним IP). Ну и теперь мы можем открыть в браузере 2ip.ru и посмотреть результат.
Для измерения скорости скачивания и ping’а в данном случае использовать сервис измерения скорости, предлагаемый 2ip.ru несколько некорректно, т.к. мы прописали правило маршрутизации пакетов через VPN только для 178.63.151.224, фактически же, при измерении скорости используется другой сервер.
Подводя краткие итоги по настройке. Для доступа через VPN только к определенным нами ресурсам в Mikrotik необходимо:
- В IP -> Firewall -> Address List добавить IP тех ресурсов соединение с которыми мы хотим осуществлять через VPN, в нашем случае мы назвали этот список through_vpn.
- В Interfaces мы должны добавить само VPN-соединение, в нашем случае мы настраивали PPTP Client (hideme-vpn).
- В IP -> Routes мы добавили еще один маршрут на 0.0.0.0/0 через VPN с Routing Mark – through_vpn.
- В IP -> Firewall -> NAT мы добавили правило маскарадинга для VPN. Т.е. NAT для VPN-интерфейса.
- И наконец в IP -> Firewall -> Mangle мы поместили правило для prerouting, которое при совпадении адреса назначения пакета с адресами перечисленными в списке through_vpn выполняло action – mark routing, проставляя mark routing в through_vpn.
Т.е. фактически мы получили маршрутизацию всех пакетов для ip из списка через наш VPN. Ну вот собственно и все.