Chupaka
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
voron2001
Цитата:| то тут непонятно как mikrotik определит ip адрес шлюза |
Он и не будет его определять. Если шлюз = интерфейс, значит указанная подсеть (dst-address) доступна прямо на интерфейсе, без шлюза.
Например, /ip route add dst-address=10.200.0.0/24 gateway=ether5
При получении пакета для 10.200.0.5 роутер пошлёт с интерфейса ether5 ARP-запрос "кто тут 10.200.0.5?", получит ответ от 10.200.0.5 (если, конечно, 10.200.0.5 "услышит" этот запрос) - и отправит пакет на MAC-адрес хоста 10.200.0.5.
Иногда хитрые пользователи делают что-то вроде /ip route add dst-address=0.0.0.0/0 gateway=ether1-gateway (к ether1-gateway подключен провод провайдера) - и всё чудесным образом как будто работает. На самом деле благодарить надо провайдера, который включил у себя на интерфейсе ARP Proxy, роутер считает, что все хосты в Интернете подключены у него напрямую в порт (безо всяких шлюзов), а роутер провайдера на все ARP-запросы добросовестно откликается своим MAC-адресом. Технически всё работает как и при указании шлюзом IP-адреса роутера провайдера (все пакеты отправляются на единственный MAC-адрес роутера провайдера), за одним исключением: информация о каждом хосте, к которому отправлялись пакеты, добавляется в ARP-таблицу роутера. И если при указании IP-адреса шлюза на интерфейсе ether1-gateway будет лишь одна ARP-запись (IP-адрес шлюза : MAC шлюза; например 10.200.0.1 = 00:de:ad:00:be:ef), то при указании ethernet-интерфейса в качестве шлюза ARP-таблица будет выглядеть как-то так:
8.8.8.8 = 00:de:ad:00:be:ef
8.8.4.4 = 00:de:ad:00:be:ef
10.200.0.1 = 00:de:ad:00:be:ef
216.58.209.46 = 00:de:ad:00:be:ef
172.217.20.174 = 00:de:ad:00:be:ef
87.250.250.242 = 00:de:ad:00:be:ef
31.192.120.36 = 00:de:ad:00:be:ef
И так для каждого ресурса, к которому было обращение.
Добавлено:
harm86
Тут два варианта: либо в настройках PPTP-клиента/Протокол Интернета IPv4 снять галку "Использовать как шлюз по умолчанию" и прописывать маршруты через VPN к нужным ресурсам ручками, либо поднять тоннель IPSec (на Windows можно, например, использовать Shrew VPN Client https://www.shrew.net/download) и через ModeConfig (https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Mode_Config) отдавать клиенту необходимые подсети, которые надо пускать через VPN |
