Russian Users MikroTik | Форум пользователей MikroTik

Маршруты на другой стороне

Настройки mangle описывал выше, ничего не менял

gregory1988 писал(а): ↑10 дек 2021, 14:58 Туннель поднят подключен к данной машине по рдп, firewall отключал полность не помогло, манг только прописывал на одной стороне, нужны все маршруты обоих устройств ?

Что ж. Конфы не увижу, я так понимаю. Тогда поясню на пальцах.
Предположим, что мы имеем Микротик 1 и Микротик 2. Далее М1 и М2 соответственно.
М1 и М2 связаны собой туннелем gre.
На М1 внутренний адрес gre 192.168.0.1
На М2 внутренний адрес gre 192.168.0.2
Рассматриваем ситуацию где туннель gre успешно создан и работает исправно. На него не влияют никакие правила.
Теперь рассматриваем как добраться с ПК1 за М1 до ПК2 за М2.
Пакет пойдёт по схеме ПК1 - М1 - М2 - ПК2. И вернется ответ по схеме ПК2 - М2 - М1 - ПК1.
А как ПК 1 должен понять где этот ПК2?
Через туннель. Но это нам уже подскажет сам М1 А как должен ответить ПК2? Это ему подскажет М2 Теперь пакеты будут ходить корректно и ответы на них будут также корректно возвращаться.
Но мы сделаем сложнее. Мы не хотим, чтобы с ПК2 могли получить доступ к ПК1, а вот с ПК1 до ПК2 доступ нужен.
На М1 указываем Теперь с ПК1 все запросы будут маскироваться под 192.168.0.1
Следовательно на М2 убираем А если ещё сложнее?
Берём mangle.
Маркируем пакеты до удаленных адресов через адреслист ListZaM2 (заведомо конечно его создаём) Ну и про роутинг не забываем По сути вот Вам ответ максимально полный. Можно и ещё усложнить. Использовать, например, L7. Естественно вместо gre можете использовать любой вид туннеля. Суть не сильно меняется.

Так в маршрутах там же видно что есть маршруты через туннель до локалок, тоесть из компа в lan1 m1 проходят пинги через gre до компа lan2 m2

gregory1988 писал(а): ↑10 дек 2021, 15:50 Так в маршрутах там же видно что есть маршруты через туннель до локалок, тоесть из компа в lan1 m1 проходят пинги через gre до компа lan2 m2

Да. Всё верно. Роутер же должен знать куда слать запрос. В чём собственно вопрос-то? Если убрать эти маршруты, то как роутер должен понять что делать с пакетами?

Они должны быть, вопрос в том что не работает маркировка, через dst list также пробовал делать, но почемуто не идёт трафик через нат, который с out interface gre, соответственно и пакеты не маркируются ИП показывает не туннеля а фактический

gregory1988 писал(а): ↑10 дек 2021, 16:05 Они должны быть, вопрос в том что не работает маркировка, через dst list также пробовал делать, но почемуто не идёт трафик через нат, который с out interface gre, соответственно и пакеты не маркируются ИП показывает не туннеля а фактический

Так я для того и прошу у Вас конфигурацию. На словах оно у Вас всё верно, а по факту как нам искать ошибку? Нет конфигурации - ищите ответ в более ранних сообщениях

Как правильно показать вам конфигурацию не показывая серые адреса роутеров ?

gregory1988 писал(а): ↑10 дек 2021, 16:11 Как правильно показать вам конфигурацию не показывая серые адреса роутеров ?

Ну например для показывания правил Firewall, в терминале нужно вбить ip firewall filter export так и по всем остальным пунктам.
Нужны правила firewall, route, mangle, nat с двух устройств. Внешние адреса уже тут при вставке в ответ "замажте", замените на другие. Так же требуется конфа и с другого роутера. И не забудьте пометить какая конфа какому роутеру принадлежит

2 минуты