BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra FTTH

Hacer que en un Mikrotik con dos conexiones el tráfico VPN vaya por una de ellas

soytorpe
1

Quiero sustituir el router de mi operadora por un Mikrotik. Tengo dos lineas de internet y quería saber si se puede montar una VPN sobre una de las líneas y te conectes a la VPN por la IP de esa línea siempre pero a internet salgas con la IP de la otra línea.

Es una configuración algo rara que igual es imposible pero por preguntar.

Solospam

Supon que tienes dos salidas a internet la 88.xx.yy.zz y la 85.aa.bb.cc

Te montas una VPN en el router que tiene la salida 88.xx.yy.zz, cuando salgas a internet vas a salir por 88.xx.yy.zz y no por 85.aa.bb.cc.

Lo que puedes hacer si tienes dos mikrotiks es que toda la red del mikrotik 1 192.168.1.1 y toda la red del mikrotik2 172.16.1.1 salga por una de las direcciones IP ya sea 88.xx.yy.zz o 85.aa.bb.cc

Poder se podría hacer pero navegarías a unos 50 simétricos en la VPN y a velocidad contratada en el router de salida a internet

Espero haberte contestado, saludos

🗨️ 2
soytorpe

Pues la idea era utilizar un único router.

Eso como tendría que hacerlo? Podría hacerse con un mikrotik con la VPN y con otro router que tenga?

Que tendría que hacer más o menos para saber por dónde investigar?

gracias por la ayuda y la rapidez

🗨️ 1
Solospam
1

Pues la idea era utilizar un único router.

Necesitas un router por salida a internet, preferiblemente 2 mikrotik porque una vez lo configuras te olvidas de todo

Eso como tendría que hacerlo? Podría hacerse con un mikrotik con la VPN y con otro router que tenga?

Yo eso lo haría con túneles GRE, L2TP y OSPF, pocos routers no profesionales podrían aguantar esa config…

Que tendría que hacer más o menos para saber por dónde investigar?

Pregunta directamente en el foro oficial mikrotik o busca el canal de telegram de mikrotik españa, allí encontrarás incluso quien te lo haga por 20 o 30 dólares

MasterL

Entiendo q el escenario es

IP publica 1 — VPN

IP publica 2 — gateway para los de la VPN

O sea que los q vienen de la VPN salgan a internet por la otra IP publica del router

Si es eso sí puede hacerse, basta que empujes una ruta 0.0.0.0/0 a los de la VPN y cuando sus paquetes lleguen al router nateas la red VPN en el interfaz que quieras

Al final la VPN es otra red LAN solo que virtual en tu router

Puedes enrutar a los equipos de la VPN con la misma funcionalidad que la LAN fisica. Un interface, un interface y el otro backup, dos interfaces con balanceo de carga, etc, etc …

🗨️ 1
soytorpe

interesante no tengo ni idea de como hacerlo pero no suena demasiado complicado

Muchas gracias voy a ver como hacerlo

vukits

si se puede montar una VPN sobre una de las lineas y te conectes a la VPN por la IP de esa linea siempre pero a internet salgas con la IP de la otra linea.

A eso se le llama split tunnel, y es el funcionamiento por defecto de la mayoría de software VPN del mercado

🗨️ 10
rbetancor
1

Un "split tunnel", no tiene nada que ver son lo que pide el OP.

🗨️ 9
soytorpe

eso estaba pensando yo, que no trato de discriminar una parte del trafico para que una parte pase por la VPN y otra no.

Lo que quiero es que la VPN entre por una línea y salga a internet por la otra línea.

🗨️ 8
MasterL
1

Como dice vukits el tunel dividido suele ser la configuracion habitual en una VPN

En tu caso hay q configurar la VPN para q los clientes saquen todo el trafico por la VPN mientras estén conectados a ella

En el router cuando te llega todo el trafico de la red VPN lo manejas a tu gusto como si fuese cualquier otra red local

Con dos interfaces WAN tienes mas posibilidades de enrutamiento hacia internet que con uno solo. Es la unica particularidad de tu configuracion

vukits

Te explicas en verso como un poeta sefardí del siglo XIV en , pero al final te he entendido. :P

Lo que quieres montar es una especie de proxy ¿cierto?

Tienes que hacerlo en dos fases, y realmente con la primera fase vas sobrado.

  1. La fácil, que es levantar un servicio OpenVPN que obligue al cliente a que tunele todo el trafico por él.En OpenVPN se hace con 'redirect-gateway def1' (Y en el router hacer que la conexión de salida deseada sea default gateway).
  2. la más complicada:decirle al mikrotik que a los paquetes que entren por el puerto lógico del VPN , que se le conteste por la misma pata de red

PD: para OpenVPN , usa mejor udp que tcp … y comp-lzo, no sé si ya sirve de algo… y tun en vez de tap (buenl, lo de tun y tap… parece que lo de tap funciona bien… no sé, cuestión de gustos)

🗨️ 3
soytorpe
soytorpe
🗨️ 1
vukits
vukits
CMov

Más allá del motivo de querer hacer eso, que no lo encuentro; tal y como lo planteas aquí, te diría que no puedes.

🗨️ 2
soytorpe
soytorpe