(ну вот, уже солидно описано, красиво подано, )
Маркировка:
dmitriyK писал(а): ↑01 мар 2019, 13:06
спасибо за пояснение.
попытался сделать так:
В Mangle:
chain=prerouting action=mark-routing new-routing-mark=ipip-tunnel1 passthrough=yes src-address=192.168.10.22 log=no log-prefix=""
Уже неплохо, но, нам надо по критерию делать маркировку и только. Поэтому правило в данном случаи не должно содержать
явных признаков откуда идёт пакет, мало ли что будет.
И для удобства, чтобы в правило не лезть, надо делать адрес-лист в который (как я и писал будет тот/те) которых мы и
должны увидев = промаркировать.
Поэтому показываю своё правило, а Вы слегка его адаптируйте.
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP2_rout passthrough=no src-address-list=to_ISP2
Поясню:
если приходит пакет, без метки ранее (стоит
no-mark), если он ссылается на
НЕ локальные сети (адрес-лист
LocalNet,
то есть в адрес-лист
LocalNet Вы должны внести все Ваши локальные сети, то есть 192.168.10.0/24 и 192.168.11.0/24), если он состоит в списке
(в адрес-листе
to_ISP2, в этот список Вы потом и будете добавлять кого Вы хотите завернуть/дать Интернет), то при этих
лишь условиях промаркировать пакет, и дать ему метку.
Я Вам правило скопировал с рабочего роутера, поэтому метки у меня связаны со вторым провайдером, у Вас метки могут
быть как угодно.
Маршрут:
dmitriyK писал(а): ↑01 мар 2019, 13:06
В Route:
0 A S 0.0.0.0/0 ipip-tunnel1 1
Ну тут не совсем правильно, смотрите, Вы метку сделали (Ваш роутер сделал),
поэтому Вы должны такой маршрут сделать, он верен, но Вы должны при создании маршрута,
или уже в этом маршруте отредактировать его и добавить метку.
Мы то и специально и маркируем нужных нам клиентов, чтобы именно их и именно туда, куда
нам надо и гнать трафик.
Поэтому вверху, данный маршрут должен быть с маркировкой с Вашим названием.
Лишь как пример:
Код: Выделить всё
/ip route
add check-gateway=ping distance=1 gateway="gre-tun13A-to-Office (L-via-LAN)" pref-src=10.10.10.8 routing-mark=ISP2_rout
NAT:
И последняя частая ошибка, это пере-за-НАТ.
У Вас локальные сети, взаимодействие, поэтому тут обобщённый НАТ не нужен.
А значит, как придёт пакет от компа которого Вы завернули,
то на том роутере, на который он пришёл, Вы именно там и должны сделать НАТ.
Но НАТ правило должно быть точным, а именно:
что если пришёл пакет от того компа/компов, и если они идут в глобал (то есть не
в локальную сеть), то только именно при таких данных производить НАТ и выпускать
в интернет.
Пока вот такие советы.