複数のIPアドレスを持つホストのVPNルーティング[終了]

私はMikrotik RouterOSをNATルーターとして使用しています。ルーターの背後にある一部のホストもインターネットに直接接続しており、これらのホストには、RouterOSではなくISPのゲートウェイへのデフォルトルートがあります。これらのホストの1つで、パブリックIPを使用してOpenVPNサーバーを調整モードで設定しました。問題は、VPNクライアントがISPへのデフォルトルートを持っているため、パブリックIPを持つホストと通信できないことです。RouterOSに静的ルートを配置できますが、ISPのルーターを制御できません。したがって、VPNクライアントに送信されるパケットは、VPNサーバーではなくWANリンクに送信されます。どのようなオプションがありますか？

プライベートDHCPプール172.16.10.0/24、ゲートウェイ172.16.10.1（RouterOS）

OpenVPNプール172.16.11.0/24

1. タップモード、多くのオーバーヘッド
2. tunモード、DHCPプール内のVPNプール、およびLAN内のVPNプール用のOpenVPNサーバープロキシARP
3. tunモードでは、パブリックIPを持つすべてのホストにOpenVPNプールの静的ルートを追加します。これはうまく拡張できず、混合環境では作業が多すぎます
4. IPv6。問題は、多くのWindowsアプリケーション（VMware製品など）でIPv6のサポートが不十分であることです。すべてのホストにはIPv6接続がありますが、VPNクライアントはIPv6を取得するのに苦労する可能性があります。

私はおそらくすべてをファイアウォールの背後に置く必要があることを知っています。Juniper SRXを入手したら、それを行います。すべてのホストに十分なパブリックIPがありません。また、RouterOS / pfSenseは、パブリック/プライベートIPが混在する環境には適していません。私はこれが最初から貧弱な設計であることを認めなければなりません、銀行を壊すことなく移行パスはありますか？制作ではなく、少し複雑なホームネットワークです。

私はあなたの入力に感謝します。

Edit1（JelmerSの回答への応答）：これは実行可能ですが、OPで述べたように実際には適切にスケーリングされません。この環境では、BSD、Linux、Windows、スタンドアロンアプライアンス（シェル、プリンター、ネットワーク監視デバイス、電話など）のないさまざまなフレーバーを使用しています。DHCPオプション33とオプション121を試しますが、それらがさまざまなデバイスでどの程度サポートされているかはわかりません。

Edit2（Joseph Draneの回答への応答）：1.現在パブリックIPを持つホストには、RouterOS LANへのリンクとISPへの別のリンクがあります（RouterOSをバイパス）

1. 静的NATを実行する正当な理由はありますか？不要のようです（パフォーマンスが大幅に低下します）

2. 私が探しているファイアウォールは、透過モードでうまく機能します。DHCP / NATは完全に別のボックスで実行できます。しかし、私が使用したほとんどのファイアウォールは透過モードではサポート/機能せず、トラブルシューティングが困難です（可視性の欠如）

Edit3：RouterOSはESXi内で実行されます。他のゲストOSもあります。環境が物理/仮想ホストと混在しています。ESXiボックスに十分なNICインターフェイスがあります。ホストがパブリック/プライベートアドレスを簡単に切り替えられるようにする柔軟性が欲しい。

ルートは常に特定の順序で選択されます。ホストがルーターAを介して10.0.0.0/8に、ルーターBを介して10.0.1.0/24にルートを持っているとします。10.0.1.1にパケットを送信すると同時に、ルーターAよりもルーターBが優先されます。 routeは、最も限定的なルートです。追加した他のルートは、デフォルトルートよりも優先されます。そのため、答えは簡単です。Mikrotikルーターを介してVPN DHCPプールに特定のルートを追加します。ルートを永続化することを忘れないでください。そうすれば、ルートは再起動しても存続します。DHCPプールが10.0.1.0/24あり、MikrotikにIPが1.1.1.1あり、に接続されているとすると、eth0Windows用のコマンドは次のとおりです。

route add -p 10.0.1.0 MASK 255.255.255.0 1.1.1.1

Linuxの場合、/etc/sysconfig/network-scripts/route-eth0ファイルを編集して永続的なルートを追加し、eth0インターフェースの静的ルートを定義します。

GATEWAY0=1.1.1.1
NETMASK0=255.255.255.0 
ADDRESS0=10.0.1.0

したがって、すでにご存じのように、パブリックIPアドレスが割り当てられたホストは適切ではありません。ファイアウォールを前面に置くことについてのあなたのコメントを参照しています。

ルーターを使用して、DMZネットワーク用に別のインターフェースを追加します。このDMZネットワークは、パブリックではなくプライベートIPアドレスを使用します。

次に、ルーター内で、パブリックをそのプライベートIPアドレスにNAT変換します。

現在の構成：[インターネット] ----> RouterOS -----> Host w / public IP

新しい構成/セットアップ：[インターネット] ---> RouterOS <---> NATパブリックIP 60.70.80.90 <-to-> 192.168.100.90 ---->ホストw /プライベートIP 192.168.100.90

これで、DMZサブネット/ネットワークになる192.168.100.90サブネット/ネットワークへのルートを配置できます。

"make-shift"ファイアウォールを使用することに関しては、IPテーブルを使用していくつかの素晴らしいことを行うことができますが、私はそれを手助けする人ではありません。私はシスコの人です。