[Mikrotik] Policy Routing trên Mikrotik

1. Trường hợp có 2 đường truyền Internet.

Để cho LAN1 đi qua WAN1 và LAN2 đi qua WAN2 trên Mikrotik, bạn có thể sử dụng tính năng Policy Routing. Theo đó, bạn có thể tạo một policy để chỉ định đường mạng cho các gói tin dựa trên địa chỉ nguồn, địa chỉ đích hoặc cả hai.

Dưới đây là hướng dẫn thực hiện trên Mikrotik bằng CLI:

• Tạo 2 gateway cho 2 đường truyền internet:

/ip route add gateway=192.168.1.1 distance=1
/ip route add gateway=192.168.2.1 distance=2

Trong đó, 192.168.1.1 là địa chỉ gateway của WAN1, 192.168.2.1 là địa chỉ gateway của WAN2.

• Tạo 2 mangle rule để chỉ định đường mạng cho các gói tin từ 2 subnet khác nhau:

/ip firewall mangle add chain=prerouting src-address=172.16.1.0/24 action=mark-routing new-routing-mark=to_wan1
/ip firewall mangle add chain=prerouting src-address=172.16.2.0/24 action=mark-routing new-routing-mark=to_wan2

Trong đó, 172.16.1.0/24 là subnet của LAN1, 172.16.2.0/24 là subnet của LAN2.

• Tạo 2 routing table tương ứng với các đường truyền:

/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_wan1
/ip route add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_wan2

• Tạo 2 rule trong routing table main để định tuyến các gói tin từ các subnet khác nhau tới các routing table tương ứng:

/ip route add dst-address=172.16.1.0/24 gateway=192.168.1.1 routing-mark=to_wan1
/ip route add dst-address=172.16.2.0/24 gateway=192.168.2.1 routing-mark=to_wan2

• Thiết lập default route cho từng routing table:

/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_wan1
/ip route add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_wan2

Sau khi thực hiện các bước trên, các gói tin từ LAN1 sẽ được định tuyến qua WAN1 và các gói tin từ LAN2 sẽ được định tuyến qua WAN2. Chú ý rằng bạn cần phải chuyển tất cả các thiết bị trong mạng LAN sang sử dụng địa chỉ gateway của subnet tương ứng để đảm bảo định tuyến

2. Trường hợp có 1 đường truyền Internet và 1 đường truyền VPN.

Để routing Lan 1 đi WAN1 và Lan 2 đi VPN Client-to-Site trên Mikrotik, bạn có thể làm như sau:

Bước 1: Đặt IP cho WAN1 và WAN2.

Bước 2: Tạo VPN Client-to-Site và cấu hình IP.

Bước 3: Tạo định tuyến cho từng mạng LAN. Ví dụ, nếu Lan 1 là 192.168.1.0/24 và Lan 2 là 192.168.2.0/24, thì bạn có thể tạo định tuyến như sau:

Lan 1 đi qua WAN1, gateway là địa chỉ IP của WAN1.

/ip route add dst-address=192.168.1.0/24 gateway=<IP WAN1> comment="Lan 1 to WAN1"

Lan 2 đi qua VPN Client-to-Site, gateway là địa chỉ IP của VPN Client-to-Site.

/ip route add dst-address=192.168.2.0/24 gateway=<IP VPN Client-to-Site> comment="Lan 2 to VPN"

Tạo định tuyến mặc định để đưa các gói tin ra ngoài Internet. Địa chỉ IP của WAN1 làm gateway mặc định.

/ip route add gateway=<IP WAN1> comment="Default route to WAN1"

Chú ý rằng, để đảm bảo các gói tin từ Lan 2 đi qua VPN Client-to-Site, bạn cần cấu hình VPN Client-to-Site sao cho nó có thể kết nối được tới các máy tính trong Lan 2. Cách cấu hình này sẽ phụ thuộc vào loại VPN Client-to-Site mà bạn đang sử dụng.

3. Để kiểm tra Policy Routing trên Mikrotik.

Để hiển thị Policy Routing trên Mikrotik bằng CLI, bạn có thể sử dụng lệnh sau:

/ip route print detail where routing-mark=<routing_mark_value>

Trong đó, <routing_mark_value> là giá trị của Routing Mark, là một thuộc tính được sử dụng để định tuyến các gói tin đến các bảng định tuyến khác nhau.

Ví dụ, nếu bạn muốn hiển thị tất cả các bảng định tuyến đã được đánh dấu với Routing Mark là “VPN”, bạn có thể sử dụng lệnh sau:

/ip route print detail where routing-mark=VPN

Lệnh này sẽ hiển thị tất cả các mục trong bảng định tuyến có Routing Mark là “VPN”, bao gồm các thông tin về địa chỉ đích, gateway, giao diện, và các thuộc tính khác.