Mikrotik ROS做策略路由

因为工作需要翻墙出逃,网关是一台RB951G-2HnD,ROS版本是:6.22,需要对指定的某些IP段走VPN线路出去。

有两种方案:

1、在IP routes里手工增加静态路由,但是如果IP段很多,这样很麻烦,而且路由表里特别多。

2、配合ip firewall做策略路由,具体配置如下:

2.1、在ip Firewall中打开Address List配置,需要通过VPN路由出去的IP段,如下图:

2.2、在Mangle中对需要走VPN出去的包打标签,如下图:

2.3、一般我们已经提前做好了NAT或者masquerade,但是这里要注意一下,做masquerade或者snat的时候不要指定网卡接口。

/ip firewall nat add chain=srcnat action=masquerade

即可。

2.4、进入ip routes,增加一个0.0.0.0/0的路由项,并且Routing Mark选择刚才在ip firewall里定义的New Routing Mark的名字,截图如下:

2.5、OK,以后所有在ip firewall > addresss list > 中定义的FW的IP段都会走VPN出去。