Маркировка трафика

[omen]

Здравствуйте!
У меня устройство hap ac lite, прошивка 6.42.11 long term
В него приходит по проводу МТС с белым адресом, а в юсб порту 4g свисток.. нулевой маршрут смотрит в свисток, и есть подсети которые смотрят в МТС, все что туда завернуто это наша городская локальная сеть.. на мтсе тоже есть интернет, поэтому и туда есть нулевой маршрут с метрикой на 1 выше чем у свистка поэтому не активен..

Вопрос вот в чем.. из-за того что на свистке адрес серый, а на мтсе белый мне необходимо настроить доступ с интернета по ипу который мне дает мтс (ип статический), для этого я помечают трафик в мангле который приходит ко мне с порта МТС и заворачиваю его обратно на мой шлюз МТСа..
Все начинает работать как надо, пинги пингуются, pptp подключается (проверяю с телефона с симки билайн), в общем вижу себя со стороны мтс, но через время все это счастье перестает работать, бывает через час, бывает через 10 часов, дольше 12 часов не работает.. но если выключить нулевой маршрут до модема буквально на несколько секунд, и нулевым маршрутом станет МТС, все начинает снова работать, включаешь обратно маршрут на модем и в моем распоряжении снова 1-10 часов нормальной работы)) в общем приходится постоянно передергивать нулевой маршрут..

Пробовал в качестве шлюза МТСа ставить просто его интерфейс, пробовал check gateway и ping и arp, не помогает, через время просто не перестает пинговаться из вне..
Куда копать?

P.S. белый ип со стороны МТС на схеме изменен на выдуманный! для полноценного понимания (настоящий ип тоже в диапозоне 91.186.x.x)

P.P.S. обычно когда пингую с телефона, то вижу себя в Connections, когда перестает работать, там не намека что я пытаюсь пинговать..

Код: Выделить всё

# feb/13/2019 19:29:01 by RouterOS 6.42.11
#
# model = RouterBOARD 952Ui-5ac2nD

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=eth1:MTS use-peer-dns=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=lte1 use-peer-dns=no

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="allow established and related" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="allow ping" protocol=icmp
add action=accept chain=forward comment="allow lan" src-address=192.168.1.0/27
add action=accept chain=input src-address=192.168.1.0/29
add action=accept chain=input comment=vpn dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=forward
add action=drop chain=input comment="drop all"

/ip firewall mangle
add action=mark-connection chain=input dst-address=91.186.1.66 in-interface=eth1:MTS new-connection-mark=mts_in passthrough=yes
add action=mark-routing chain=output connection-mark=mts_in new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=forward in-interface=eth1:MTS new-connection-mark=mts_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=mts_in_f in-interface="bridge lan" new-routing-mark=mts_route passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat comment="nat mts" out-interface=eth1:MTS
add action=masquerade chain=srcnat comment="nat modem" out-interface=lte1

/ip route
add distance=1 gateway=91.186.1.254 routing-mark=mts_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=eth1:MTS
add distance=5 dst-address=10.203.x.x/x gateway=eth1:MTS
add distance=5 dst-address=10.204.x.x/x gateway=eth1:MTS
add distance=5 dst-address=85.117.x.x/x gateway=eth1:MTS
add distance=5 dst-address=91.186.x.x/x gateway=eth1:MTS
add distance=5 dst-address=91.229.x.x/x gateway=eth1:MTS
add distance=5 dst-address=95.129.x.x/x gateway=eth1:MTS
add distance=5 dst-address=192.168.x.x/x gateway=eth1:MTS
add distance=5 dst-address=213.128.x.x/x gateway=eth1:MTS

[Vlad-2]

1) маркировать надо оба провайдеров (оба канала)
2) толком я вопроса не понял, но я понял так: "почему так происходит?" ...потому что не до конца сделали.
3) маршруты:
а) у Вас должно быть 3 таблицы маршрутизации, главная (MAIN), и ещё две (каждая по провайдеру,
маркированные)
б) соответственно Вы пометив (отмаркировав) каждого провайдера = должны в его канал отсылать пакеты
4) маршруты локальных сетей как-то странно описаны...не видел такова синтаксиса.
5) так как Вам надо подключение с Интернета на белый адрес, то могу дать обобщённый совет,
что шлюз по-умолчанию (дефолтный) должен быть тот провайдер, который даёт белый адрес.
Повторюсь: два маршрута с дистанцией 1(по каждому прову), но с маркировками,
потом два дефолтных шлюза обычных (без маркировок), но с разными дистанциями,
дист=1 у провайдера с белым IP, дист=2 с серым.
6) в Файрволе, в разделе Сonnections = кнопка Tracking , там есть параметр TCP Established Timeout = который
равен 1 суткам, советую поставить 12 часов, так проще, лучше и быстрее будем в будущем.

Пока вот такие скромные советы

[omen]

1) маркировать надо оба провайдеров (оба канала)
2) толком я вопроса не понял, но я понял так: "почему так происходит?" ...потому что не до конца сделали.
3) маршруты:
а) у Вас должно быть 3 таблицы маршрутизации, главная (MAIN), и ещё две (каждая по провайдеру,
маркированные)
б) соответственно Вы пометив (отмаркировав) каждого провайдера = должны в его канал отсылать пакеты
4) маршруты локальных сетей как-то странно описаны...не видел такова синтаксиса.
5) так как Вам надо подключение с Интернета на белый адрес, то могу дать обобщённый совет,
что шлюз по-умолчанию (дефолтный) должен быть тот провайдер, который даёт белый адрес.
Повторюсь: два маршрута с дистанцией 1(по каждому прову), но с маркировками,
потом два дефолтных шлюза обычных (без маркировок), но с разными дистанциями,
дист=1 у провайдера с белым IP, дист=2 с серым.
6) в Файрволе, в разделе Сonnections = кнопка Tracking , там есть параметр TCP Established Timeout = который
равен 1 суткам, советую поставить 12 часов, так проще, лучше и быстрее будем в будущем.

Пока вот такие скромные советы

Спасибо за совет, я сейчас займусь "доделыванием"
Свисток во всей этой схеме задействован исключительно потому что на нем выше скорость интернета.. на мтсе фиксированные 5 мбит, на модеме от 10 до ~40мбит в зависмости от времени суток и загруженности, именно поэтому весь основной трафик направлен туда.. что делать в такой ситуации? Все равно ставить мтс маршрутом по умолчанию и как то в мангле заворачивать весь трафик с локального бриджа в свисток?

[omen]

Добавил 3 правила:
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
Стало:
add distance=1 gateway=91.186.1.254 routing-mark=mts_route
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=91.186.1.254

add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=modem_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=modem_in_f in-interface="bridge lan" new-routing-mark=modem_route passthrough=yes

Вроде сделал все что вы написали за исключением перехода дефолтного маршрута на мтс все работает, надо подождать 1-10 часов

[Vlad-2]

Спасибо за совет, я сейчас займусь "доделыванием"
Свисток во всей этой схеме задействован исключительно потому что на нем выше скорость интернета.. на мтсе фиксированные 5 мбит, на модеме от 10 до ~40мбит в зависмости от времени суток и загруженности, именно поэтому весь основной трафик направлен туда.. что делать в такой ситуации? Все равно ставить мтс маршрутом по умолчанию и как то в мангле заворачивать весь трафик с локального бриджа в свисток?

1) при маркировки хоть 3-х, хоть 5-ти провайдеров, ответы будут улетать туда, куда надо (если сделать правильно).
Поэтому если на провайдере с серым адресом скорость выше, делайте его по-умолчанию, я ж только предложил.

2) на счёт локального бриджа не понял....

[Vlad-2]

Вроде сделал все что вы написали за исключением перехода дефолтного маршрута на мтс все работает, надо подождать 1-10 часов

Я Ваш код сейчас анализировать не буду (не готов), а на счёт ждать, Вы выполнили пункт 6-й, в первом моём сообщении?
Там где про таймаут была речь? (только сильно уменьшать не надо).

И там же, в Коннекшинах можете по названию маркировкам посмотреть какие пакеты, сколько чего у них, и сколько им "жить" осталось.

[omen]

Вроде сделал все что вы написали за исключением перехода дефолтного маршрута на мтс все работает, надо подождать 1-10 часов

Я Ваш код сейчас анализировать не буду (не готов), а на счёт ждать, Вы выполнили пункт 6-й, в первом моём сообщении?
Там где про таймаут была речь? (только сильно уменьшать не надо).

И там же, в Коннекшинах можете по названию маркировкам посмотреть какие пакеты, сколько чего у них, и сколько им "жить" осталось.

Да, пункт 6 тоже выполнил!

[omen]

Ну в общем у меня ничего не изменилось, через пару часов снова все кончилось, роутер перестал отвечать на порту МТС..

Код: Выделить всё

# feb/14/2019 10:17:08 by RouterOS 6.42.12
# software id = IBPS-GXJH
#
# model = RouterBOARD 952Ui-5ac2nD

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=eth1:MTS use-peer-dns=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=lte1 use-peer-dns=no

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="allow established and related" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="allow ping" protocol=icmp
add action=accept chain=forward comment="allow lan" src-address=192.168.1.0/27
add action=accept chain=input src-address=192.168.1.0/29
add action=accept chain=input comment=vpn dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=forward
add action=drop chain=input comment="drop all"

/ip firewall mangle
add action=mark-connection chain=input in-interface=eth1:MTS new-connection-mark=mts_in passthrough=yes
add action=mark-routing chain=output connection-mark=mts_in new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=forward in-interface=eth1:MTS new-connection-mark=mts_in_f passthrough=yes
add action=mark-routing chain=prerouting connection-mark=mts_in_f in-interface="bridge lan" new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=input in-interface=lte1 new-connection-mark=modem_in passthrough=yes
add action=mark-routing chain=output connection-mark=modem_in new-routing-mark=modem_route passthrough=no
add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=modem_in_f passthrough=yes
add action=mark-routing chain=prerouting connection-mark=modem_in_f in-interface="bridge lan" new-routing-mark=modem_route passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat comment="nat mts" out-interface=eth1:MTS
add action=masquerade chain=srcnat comment="nat modem" out-interface=lte1

/ip route
add distance=1 gateway=eth1:MTS routing-mark=mts_route
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=eth1:MTS
add distance=5 dst-address=10.203.x.x/x gateway=eth1:MTS
add distance=5 dst-address=10.204.x.x/x gateway=eth1:MTS
add distance=5 dst-address=85.117.x.x/x gateway=eth1:MTS
add distance=5 dst-address=91.186.x.x/x gateway=eth1:MTS
add distance=5 dst-address=91.229.x.x/x gateway=eth1:MTS
add distance=5 dst-address=95.129.x.x/x gateway=eth1:MTS
add distance=5 dst-address=192.168.x.x/x gateway=eth1:MTS
add distance=5 dst-address=213.128.x.x/x gateway=eth1:MTS

Насчет непонятного синтаксиса маршрутов локальных, что не так? Указаны сеть и маска подсети

[Vlad-2]

Ну в общем у меня ничего не изменилось, через пару часов снова все кончилось, роутер перестал отвечать на порту МТС..

Печально, давайте полный конфиг согласно пункта 5 (вверху, красным).

Насчет непонятного синтаксиса маршрутов локальных, что не так? Указаны сеть и маска подсети
add distance=5 dst-address=192.168.x.x/x gateway=eth1:MTS

Вот тут название eth1:MTS - я не понял что это название, да и двоеточие смущает.
переназовите как-то более нормально.
Я вообще против замены имени у интерфейсов и прочее, лучше добавлять,
а вообще = лучше комментарии...

P.S.
Вот хорошее описание как у меня сделано:
viewtopic.php?p=58201#p58201
Попробуйте.....главное прочтите всё..

P.P.S.
У МТСа нет проблем вообще? Может это у них что-то раз в промежутке
какова-то времени что-то делается, не уточняли?

[omen]

Ну в общем у меня ничего не изменилось, через пару часов снова все кончилось, роутер перестал отвечать на порту МТС..

Печально, давайте полный конфиг согласно пункта 5 (вверху, красным).

Насчет непонятного синтаксиса маршрутов локальных, что не так? Указаны сеть и маска подсети
add distance=5 dst-address=192.168.x.x/x gateway=eth1:MTS

Вот тут название eth1:MTS - я не понял что это название, да и двоеточие смущает.
переназовите как-то более нормально.
Я вообще против замены имени у интерфейсов и прочее, лучше добавлять,
а вообще = лучше комментарии...

P.S.
Вот хорошее описание как у меня сделано:
viewtopic.php?p=58201#p58201
Попробуйте.....главное прочтите всё..

P.P.S.
У МТСа нет проблем вообще? Может это у них что-то раз в промежутке
какова-то времени что-то делается, не уточняли?

eth1:MTS - порт ethernet1, в него вставлен провод МТС т.е. в правиле в качестве шлюза указан первый порт в который приходит МТС
Раньше у МТСа была подсеть 192.168.0.0\16 до того как они перешли на белые адреса, сейчас судя по сканированию сети там уже ничего не осталось, всего пара хостов непонятных, поэтому этот маршрут я удалил.

Достоверно известно что в течении дня у МТСа полностью пропадает интернет на 5-10 секунд, где то на их шлюзе в интернет, т.к. локальная сеть городская полностью работает в этот момент.. такое происходит 3-5 раз за сутки.. это может быть причиной? Если да, то что можно сделать?
Полный конфиг скину после вашего ответа, пока подготовлю