Как в Mikrotik завернуть домен в нужный интерфейс

Всем привет!!!

В этой статье я написал о том, как настроить MikroTik для направления домена на определённый интерфейс. Это позволит открывать определённые сайты через конкретный интерфейс.



Хочу порекомендовать хостинг VPS от компании Аеза. После регистрации по моей ссылке вы получите бонус 15% к пополнению баланса, который будет действовать 24 часа. Поддерживаются различные локации как в РФ, так и Европе. Пополнение как криптой, так и картами РФ по СБП. Сейчас доступен тариф 🟢 SWE-PROMO в Швеции за 1.09 Евро в месяц, но скорость до 100М. Тариф быстро заканчивается. Узнать о его доступности можно в телеграм боте @aezastatus_bot. Если опоздали, то подождите, тариф появится снова обязательно. Нужна скорость до 25Гб\с, то выбирайте другую локацию на ваш выбор и тарифный план от 4.94 евро в месяц. При покупке на год скидка 12%. Можно подключить всю семью и друзей одновременно. Так же есть много предустановленных ПО на выбор.


Если на вашем роутер Mikrotik есть несколько интерфейсов для выхода в интернет или сайт компании находится на серверах расположенных в другом филиале офиса, то проще и быстрее маршрутизировать такой трафик в VPN между офисами. Все офисы соединяются через VPN для обеспечения безопасности в интернете. Соответственно у администратора возникает вопрос как это сделать.

DNS сервер вашего ПК, телефона или телевизора должен быть сам роутер Mikrotik

Первым делом нужно создать новую таблицу маршрутизации и обязательно поставить в ней галочку FIB. Я назвал ее vpn, вы можете назвать ее to-aeza и так далее как хотите.

Затем переходим в IP > Routes и создаем новый маршрут 0.0.0.0/0 указываем интерфейс нужного вам интерфейс, в моем случаи это wg0, и самое главное указать таблицу маршрутизации, которую создали ранее. Это правило заставит весь трафик в данной таблице ходить через данный интерфейс.

На следующем этапе нужно создать правило фаервола Managle. Канал укажите prerouting, Dst. Adress List укажите vpn-domains, ну или придумайте свое название. На вкладке Action укажите mark routing и New Routing Mark выбрать из списка vpn, который придумывали ранее. Это правило поместит попавший под его условия трафик в нужную таблицу маршрутизации. Не забудьте разместить правило как можно выше. В моем случаи на втором месте.

Внимание!!! Для того что бы работали правила mangle необходимо отключить FastTrack. Отключение требует перезагрузки роутера. Так же можно не отключать FastTrack, но тогда нужно его сильно модифицировать. Эта тема в данной статье не рассматривается.

/ip firewall mangle
add action=mark-routing chain=prerouting comment=Domen-to-VPN dst-address-list=vpn-domains new-routing-mark=vpn passthrough=yes

Теперь осталось только завернуть нужный домен в нужную таблицу маршрутизации. Тут есть два метода. Через адрес лист и через DNS static.

  • Через адрес лист хорошо подходит для одного домена, без поддоменов, правда говорят если таких записей будет много (1000 штук), то они сильно напрягают процессор.
  • Через DNS static (предпочтительнее) может заворачивать как домен так и все поддомены, но требует внешнего DNS сервера.

Они оба напрягают, просто в первом случае надо знать заранее все субдомены. А второй будет каждый раз при обращении динамически запуливать в адреслист запись.

Экспертное мнение.

Рассмотрим каждый метод

Сначала через адрес лист. Откройте IP > Firewall > Address List и создайте новый. В открывшемся окне нужно выбрать vpn-domains и указать в адресе имя нужного домена. После сохранения домен завернется в VPN. Можно проверить открыв сайт и увидев какой IP адрес он показывает.

Второй метод DNS static.

Надо в main таблице указать маршрут через нужный интерфейс до DNS сервера, который вы укажите, расположенного как можно ближе к точке выхода из интерфейса. И этот адрес указывать как forward to. Либо же если на той стороне за интерфейсом есть DNS сервер прям на нем же, то указывать его пропуская первый пункт.

Первым делом создадим маршрут до DNS сервера который не используется на данный момент роутером. Для этого в ip-routes создаем запись dst-address=1.1.1.1/32 gateway=wg0 routing-table=main.

Затем откройте настройки IP > DNS > Static и создайте новую запись. В поле имя укажите нужный домен, тип укажите FWD, обязательно отметьте опцию Mach Subdomain, что бы учитывались все поддомены. В адрес листе укажите vpn-domains, а в поле Forward To укажите DNS сервер 1.1.1.1.

Начиная с версии RouterOS 7.16 поддерживается DOH (dns – added support for DoH with static FWD entries)

На всякий случай я рекомендую увеличить размер кеша DNS, но без фанатизма, рассчитываете на не бесконечную ОЗУ вашего роутера.

Теперь вы знаете как в Mikrotik завернуть домен в нужный интерфейс

Подписаться
Уведомить о
guest
2 Комментарий
Старые
Новые
Межтекстовые Отзывы
Посмотреть все комментарии