Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Микротик не отвечает на входящие соединения (маркировка маршуртов)

https://forummikrotik.ru/viewtopic.php?t=10390

Страница 1 из 1

Микротик не отвечает на входящие соединения (маркировка маршуртов)

Добавлено: 03 июн 2019, 17:00
tegr
Приветствую!

В моей конфигурации Mikrotik 3 WAN + на каждом WAN по несколько IP адресов.
Трафик внутри сети распределяется при помощи маркировок, адреса/подсети выходят в интернет с назначенных IP через src-nat.
Все маршруты 0.0.0.0/0 только через Routing mark.

Для входящих в роутер соединений тоже настроены марки, на пинг любого IP / WAN роутер отвечает (но только со второго пакета, первый всегда теряется, хотелось бы тоже разобраться):
 

Код: Выделить всё

28    chain=input action=mark-connection new-connection-mark=MTS_IP 
      passthrough=no in-interface=wan2 log=no 
      log-prefix="" 

29    chain=prerouting action=mark-routing new-routing-mark=MTS_IP_route passthrough=no
      connection-mark=MTS_IP log=no log-prefix="" 

30    chain=output action=mark-routing new-routing-mark=MTS_IP_route passthrough=no 
      connection-mark=MTS_IP log=no log-prefix=""
Сам вопрос - возникла необходимость разместить на роутере PPTP/L2TP сервер - не получается подключиться извне.
Похоже, роутер не понимает, как ему ответить на input трафик - если я создаю правило 0.0.0.0/0 без маркировки, с выходом через wan, на который цепляются - все ок.

Что я упустил, какое правило создать? Прошу совета.

Re: Микротик не отвечает на входящие соединения (маркировка маршуртов)

Добавлено: 04 июн 2019, 09:27
Vlad-2
1) по 3-м Вашим правилам трудно давать советы.
2) конфиг нужен полный, с описанием что куда, как и зачем.
3) почитал Вашу со мной последнюю тему, к сожалению,
Вы делаете так, как удобно Вам, но не так, как и правильно,
и как надо по стандартам делать.
4) если у Вас 2 провайдера, или даже 3 провайдера, маркировать
надо всё, или все каналы.

Пока такие советы....

Re: Микротик не отвечает на входящие соединения (маркировка маршуртов)

Добавлено: 04 июн 2019, 12:59
tegr
С момента последнего ответа в той теме некоторые вещи уже поменялись, но, поскольку, активности в теме не было, ничего описывать не стал.

Полный конфиг не выложил, поскольку стены текста читать желания ни у кого нет, наверное.

Публикую ключевые параметры конфига, думаю, DHCP и прочее нам не очень интересно.
 Firewall

Код: Выделить всё

Настройки заводские, отключен fasttrack, добавлено правило для PPTP

 1    ;;; VPN
      chain=input action=accept protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=1723 log=no log-prefix="" 

 2    chain=input action=accept protocol=gre dst-address=109.xxx.xxx.172 in-interface=wan2 log=no log-prefix="" 

 3    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 4    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 5    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

 6    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

 7    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

 8    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

 9 X  ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

10    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

11    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""
      
12    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="
 NAT

Код: Выделить всё

 0 X  chain=dstnat action=dst-nat to-addresses=10.100.200.2 to-ports=40876 protocol=tcp src-address=10.10.200.0/24 dst-address=109.xxx.xxx.172 dst-port=49152
      log=no log-prefix="" 

 1 X  chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 protocol=tcp src-address=10.10.200.0/24 dst-address=10.10.200.2 dst-port=40876 log=no 
      log-prefix="" 
      
      Ниже - пробросы портов

 2    ;;;                - service 1
      chain=dstnat action=dst-nat to-addresses=10.10.100.2 to-ports=40876 protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=49152 
      log=no log-prefix="" 

 3    chain=dstnat action=dst-nat to-addresses=10.10.100.2 to-ports=40876 protocol=udp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=49152 log=n>
      log-prefix="" 

 4    ;;;                - service 2
      chain=dstnat action=dst-nat to-addresses=10.10.100.2 to-ports=25891 protocol=udp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=25891 
      log=no log-prefix="" 

 5    ;;;                - service 3        
      chain=dstnat action=dst-nat to-addresses=10.10.100.8 to-ports=34545 protocol=tcp dst-address=109.xxx.xxx.178 in-interface=wan2 dst-port=9098 
      log=no log-prefix="" 

 6    chain=dstnat action=dst-nat to-addresses=10.10.100.8 to-ports=34545 protocol=udp dst-address=109.xxx.xxx.178 in-interface=wan2 dst-port=9098 log=no 
      log-prefix="" 

 7    ;;;                - service 4
      chain=dstnat action=dst-nat to-addresses=10.10.100.52 to-ports=5060 protocol=udp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=5060 
      log=no log-prefix="" 

 8    chain=dstnat action=dst-nat to-addresses=10.10.100.52 to-ports=10000-13000 protocol=udp dst-address=109.xxx.xxx.172 in-interface=wan2 
      dst-port=10000-13000 log=no log-prefix="" 

 9 X  ;;;                - service 5 (disabled)
      chain=dstnat action=dst-nat to-addresses=10.10.100.2 to-ports=19105 protocol=tcp src-address=92.xxx.xxx.121 dst-address=109.xxx.xxx.172 
      in-interface=wan2 dst-port=19105 log=no log-prefix="" 

10    ;;;                -     service 6
      chain=dstnat action=dst-nat to-addresses=10.10.100.4 to-ports=4567 protocol=udp dst-address=109.xxx.xxx.173 in-interface=wan2 dst-port=4567 
      log=no log-prefix="" 

11    chain=dstnat action=dst-nat to-addresses=10.10.100.4 to-ports=4567 protocol=tcp dst-address=109.xxx.xxx.173 in-interface=wan2 dst-port=4567 log=no 
      log-prefix="" 

12    ;;;                -   service 7
      chain=dstnat action=dst-nat to-addresses=10.10.100.3 to-ports=27100 protocol=udp dst-address=109.xxx.xxx.174 in-interface=wan2 dst-port=27100 
      log=no log-prefix="" 

13    chain=dstnat action=dst-nat to-addresses=10.10.100.3 to-ports=27100 protocol=tcp dst-address=109.xxx.xxx.174 in-interface=wan2 dst-port=27100 
      log=no log-prefix="" 

14    ;;;                -    service 8            
      chain=dstnat action=dst-nat to-addresses=10.10.100.7 to-ports=55455 protocol=udp dst-address=109.xxx.xxx.179 in-interface=wan2 dst-port=9090 
      log=no log-prefix="" 

15    chain=dstnat action=dst-nat to-addresses=10.10.100.7 to-ports=55455 protocol=tcp dst-address=109.xxx.xxx.179 in-interface=wan2 dst-port=9090 log=no 
      log-prefix="" 

16    ;;;                -  service 9
      chain=dstnat action=dst-nat to-addresses=10.10.100.9 to-ports=80 protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=8090 log=no 
      log-prefix="" 

17    ;;;                -    service 10
      chain=dstnat action=dst-nat to-addresses=10.10.100.11 to-ports=45455 protocol=tcp dst-address=109.xxx.xxx.176 in-interface=wan2 dst-port=40409 
      log=no log-prefix="" 

18    chain=dstnat action=dst-nat to-addresses=10.10.100.11 to-ports=45455 protocol=udp dst-address=109.xxx.xxx.176 in-interface=wan2 dst-port=40409 
      log=no log-prefix="" 

19    ;;;                -     service 11        
      chain=dstnat action=dst-nat to-addresses=10.10.100.10 to-ports=44321 protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=40408 
      log=no log-prefix="" 

20    chain=dstnat action=dst-nat to-addresses=10.10.100.10 to-ports=44321 protocol=udp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=40408 
      log=no log-prefix="" 

21    ;;;                -       service 12 
      chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=47475 protocol=tcp src-address=109.xxx.xxx.217 dst-address=109.xxx.xxx.177 
      in-interface=wan2 dst-port=49111 log=no log-prefix="" 

22    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=47475 protocol=udp src-address=109.xxx.xxx.217 dst-address=109.xxx.xxx.177 
      in-interface=wan2 dst-port=49111 log=no log-prefix="" 

23    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=47475  protocol=tcp src-address=217.xxx.xxx.156 dst-address=109.xxx.xxx.177 
      in-interface=wan2 dst-port=49111 log=no log-prefix="" 

24    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=47475 protocol=udp src-address=217.xxx.xxx.156 dst-address=109.xxx.xxx.177 
      in-interface=wan2 dst-port=49111 log=no log-prefix="" 

25    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=47475 protocol=tcp src-address=91.xxx.xxx.58 dst-address=109.xxx.xxx.177 
      in-interface=wan2 dst-port=49111 log=no log-prefix="" 

26    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=47475 protocol=udp src-address=91.xxx.xxx.58 dst-address=109.xxx.xxx.177 
      in-interface=wan2 dst-port=49111 log=no log-prefix="" 

27    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=47475 protocol=tcp src-address=92.xxx.xxx.146 dst-address=109.xxx.xxx.177 
      in-interface=wan2 dst-port=49111 log=no log-prefix="" 

28    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=47475 protocol=udp src-address=92.xxx.xxx.146 dst-address=109.xxx.xxx.177 
      in-interface=wan2 dst-port=49111 log=no log-prefix="" 

29    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=9833 protocol=tcp dst-address=109.xxx.xxx.177 in-interface=wan2 dst-port=9833 log=n>
      log-prefix="" 

30    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=2004 protocol=tcp dst-address=109.xxx.xxx.177 in-interface=wan2  dst-port=2004 log=n>
      log-prefix="" 

31    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=8080 protocol=tcp dst-address=109.xxx.xxx.177 in-interface=wan2 dst-port=8080 log=n>
      log-prefix="" 

32    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=8008 protocol=tcp dst-address=109.xxx.xxx.177 in-interface=wan2 dst-port=8008 log=n>
      log-prefix="" 

33    chain=dstnat action=dst-nat to-addresses=10.10.100.12 to-ports=80 protocol=tcp dst-address=109.xxx.xxx.177 in-interface=wan2 dst-port=1443 log=no 
      log-prefix="" 

34    ;;;                -      service 13  
      chain=dstnat action=dst-nat to-addresses=10.10.100.6 to-ports=27111 protocol=udp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=27111 
      log=no log-prefix="" 

35    chain=dstnat action=dst-nat to-addresses=10.10.100.6 to-ports=27111 protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=27111 
      log=no log-prefix="" 

36    ;;;                -   service 14
      chain=dstnat action=dst-nat to-addresses=10.10.100.5 to-ports=5575 protocol=udp dst-address=92.xxx.xxx.187 in-interface=wan3 dst-port=5575 log=no 
      log-prefix="" 

37    chain=dstnat action=dst-nat to-addresses=10.10.100.5 to-ports=5575 protocol=tcp dst-address=92.xxx.xxx.187 in-interface=wan3 dst-port=5575 log=no 
      log-prefix="" 

38    chain=dstnat action=dst-nat to-addresses=10.10.100.5 to-ports=8880 protocol=tcp dst-address=92.xxx.xxx.187 in-interface=wan3 dst-port=8880 log=no 
      log-prefix="" 

39    chain=dstnat action=dst-nat to-addresses=10.10.100.5 to-ports=5222 protocol=tcp dst-address=92.xxx.xxx.187 in-interface=wan3 dst-port=5222 log=no 
      log-prefix="" 

40    chain=dstnat action=dst-nat to-addresses=10.10.100.5 to-ports=5223 protocol=tcp dst-address=92.xxx.xxx.187 in-interface=wan3 dst-port=5223 log=no 
      log-prefix="" 

	Ниже - src nat для выхода в интернет через определенный ip адрес

41    ;;;                 инет для 2
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 src-address=10.10.100.2 out-interface=wan2 log=no log-prefix="" 

42    ;;;                          инет для 8
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.178 src-address=10.10.100.8 out-interface=wan2 log=no log-prefix="" 

43    ;;;                        инет для 6
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 src-address=10.10.100.6 out-interface=wan2 log=no log-prefix="" 

44    ;;;                   инет для 5
      chain=srcnat action=src-nat to-addresses=92.xxx.xxx.187 src-address=10.10.100.5 out-interface=wan3 log=no log-prefix="" 

45    ;;;             инет для 52
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 src-address=10.10.100.52 out-interface=wan2 log=no log-prefix="" 

46    ;;;                         инет для 60
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.173 src-address=10.10.100.60 out-interface=wan2 log=no log-prefix="" 

47    ;;;                    инет для 3
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.174 src-address=10.10.100.3 out-interface=wan2 log=no log-prefix="" 

48    ;;;                 инет для 4
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.173 src-address=10.10.100.4 out-interface=wan2 log=no log-prefix="" 

49    ;;;                        инет для 7
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.179 src-address=10.10.100.7 out-interface=wan2 log=no log-prefix="" 

50    ;;;         инет для 9
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 src-address=10.10.100.9 out-interface=wan2 log=no log-prefix="" 

51    ;;;                     инет для 10
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 src-address=10.10.100.10 out-interface=wan2 log=no log-prefix="" 

52    ;;;                   инет для 11
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.176 src-address=10.10.100.11 out-interface=wan2 log=no log-prefix="" 

53    ;;;                инет для 12
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.177 src-address=10.10.100.12 out-interface=wan2 log=no log-prefix="" 

54    ;;;                инет для подсети 200
      chain=srcnat action=masquerade src-address=10.10.200.50-10.10.200.250 out-interface=pppoe-RT log=no log-prefix="" ipsec-policy=out,none 

55 X  ;;;                 инет для подсети 100 (disabled)
      chain=srcnat action=src-nat to-addresses=109.xxx.xxx.171 src-address=10.10.100.50-10.10.100.250 out-interface=wan2 log=no log-prefix="" 

56    ;;;        инет через wifi
      chain=srcnat action=masquerade src-address=192.168.10.0/24 out-interface=pppoe-RT log=no log-prefix="" ipsec-policy=out,none
 манглы

Код: Выделить всё

 0    ;;;                  маршрут для 52
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.52 dst-address-list=!local-net log=no log-prefix="" 

 1    ;;;                     маршрут для 60
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.60 dst-address-list=!local-net log=no log-prefix="" 

 2    ;;;                      маршрут для 2
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.2 dst-address-list=!local-net log=no log-prefix="" 

 3    ;;;                         маршрут для 8      
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.8 dst-address-list=!local-net log=no log-prefix="" 

 4    ;;;                             маршурт для 6
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.6 dst-address-list=!local-net log=no log-prefix="" 

 5    ;;;                        маршрут для 5
      chain=prerouting action=mark-routing new-routing-mark=MTS_IP_route passthrough=no src-address=10.10.100.5 dst-address-list=!local-net log=no log-prefix="" 

 6    ;;;                          маршрут для 3       
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.3 dst-address-list=!local-net log=no log-prefix="" 

 7    ;;;                          маршрут для 4    
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.4 dst-address-list=!local-net log=no log-prefix="" 

 8    ;;;                      маршрут для 9
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.9 dst-address-list=!local-net log=no log-prefix="" 

 9    ;;;                      маршрут для 10            
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.10 dst-address-list=!local-net log=no log-prefix="" 

10    ;;;                  маршрут для 11              
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.11 dst-address-list=!local-net log=no log-prefix="" 

11    ;;;                   маршрут для 12          
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.12 dst-address-list=!local-net log=no log-prefix="" 

12    ;;;                   маршрут для 7                  
      chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no src-address=10.10.100.7 dst-address-list=!local-net log=no log-prefix="" 

13    ;;;      маршрут для 200 подсети
      chain=prerouting action=mark-routing new-routing-mark=RT_IP_route passthrough=no src-address=10.10.200.50-10.10.200.250 dst-address-list=!local-net log=no log-prefix="" 

14    ;;;         маршрут для wifi
      chain=prerouting action=mark-routing new-routing-mark=RT_IP_route passthrough=no src-address=192.168.10.0/24 dst-address-list=!local-net log=no log-prefix="" 

15    ;;;             для входящих соединений                    
      chain=input action=mark-connection new-connection-mark=RT_IP passthrough=no in-interface=pppoe-RT log=no log-prefix="" 

16    chain=prerouting action=mark-routing new-routing-mark=RT_IP_route passthrough=no connection-mark=RT_IP log=no log-prefix="" 

17    chain=output action=mark-routing new-routing-mark=RT_IP_route passthrough=no connection-mark=RT_IP log=no log-prefix="" 

18    chain=input action=mark-connection new-connection-mark=ERT_IP passthrough=no in-interface=wan2 log=no log-prefix="" 

19    chain=prerouting action=mark-routing new-routing-mark=ERT_IP_route passthrough=no connection-mark=ERT_IP log=no log-prefix="" 

20    chain=output action=mark-routing new-routing-mark=ERT_IP_route passthrough=no connection-mark=ERT_IP log=no log-prefix="" 

21    chain=input action=mark-connection new-connection-mark=MTS_IP passthrough=no in-interface=wan3log=no log-prefix="" 

22    chain=prerouting action=mark-routing new-routing-mark=MTS_IP_route passthrough=no connection-mark=MTS_IP log=no log-prefix="" 

23    chain=output action=mark-routing new-routing-mark=MTS_IP_route passthrough=no connection-mark=MTS_IP log=no log-prefix=""
 Маршруты

Код: Выделить всё

В выходе не указаны метки маршрута, дописываю вручную
#	DST-ADR			Pref-src				Gateway			Distance			Routing mark
0	 0.0.0.0/0                 					109.xxx.xxx.254         	 2				ERT_IP_route
 1  	0.0.0.0/0                          				92.xxx.xxx.185          	 3				MTS_IP_route
 2 	0.0.0.0/0                          				pppoe-RT                	 10				RT_IP_route
 3 	10.10.100.0/24     	10.10.100.1     			ether5				0
 4 	10.10.200.0/24     	10.10.200.1     			ether4		          	0
 5 	92.xxx.xxx.184/29  	92.xxx.xxx.187   			 wan3				0
 6	94.xxx.xxx.1/32		94.xxx.xxx.184		 		pppoe-RT                  	0
 7 	109.xxx.xxx.0/24	109.xxx.199.178		 		wan2				0
 8 	192.168.10.0/24		192.168.10.1				WiFi          			0

Больше нет ничего интересного, наверное,

Re: Микротик не отвечает на входящие соединения (маркировка маршуртов)

Добавлено: 04 июн 2019, 14:05
Vlad-2
tegr писал(а): 04 июн 2019, 12:59 С момента последнего ответа в той теме некоторые вещи уже поменялись, но, поскольку, активности в теме не было, ничего описывать не стал.
Я расстроен. Да, с последнего сообщения ни поменялось ничего.
а) Вы также работаете и пытаетесь делать сложные решения,
делая это всё на пре-заводском конфигурации. Это не принято делать так.
Слово "defconf" - как красняя тряпка, ибо при таком конфиге поймать глюки = в геометрической прогрессии растёт.
tegr писал(а): 04 июн 2019, 12:59 Полный конфиг не выложил, поскольку стены текста читать желания ни у кого нет, наверное.
б)Ну и тут тоже, читать экспорт мне проще, а Вы сделали копии конфигов иначе (сделали команду print),
увы, она не всегда показывает всё.
Делайте экспорт (можно весь конфиг, можно зайти в нужный раздел и сделать экспорт этой части).

в) опять же по тонкости: у Вас во многих моментов, правила повторяются, а в правилах меняются
лишь адреса, хочу напомнить, что каждое правило = это проход процессора, нагрузка и снижения
производительности. НЕ уж то Вы не выучили такую функцию как адрес-лист в файрволе,
где можно все адреса 10.10.100.ххх занести, и туда потом заносить, отключать быстро 1-2 адреса,
и добавлять и уже одним правилом (внутри этого правила) вызывать адрес-лист нужный с адресами,
и всё будет работать в разы правильно, и код(конфиг) будет чище, понятнее.
в.2) УЖАС, столько пробросов, опять можно же как-то сделать. Зачем каждого описывать,
создайте листы, адрес-лист со списком кому можно Интернет, а кому Нельзя, всё.
У Вас вроде контора маленькая, а пробросов штук 25-30 минимум, ужас, может проще купить
адресацию внешнюю?
tegr писал(а): 04 июн 2019, 12:59 Публикую ключевые параметры конфига, думаю, DHCP и прочее нам не очень интересно.
Всё бывает интересно и важно.
tegr писал(а): 04 июн 2019, 12:59 Настройки заводские, отключен fasttrack, добавлено правило для PPTP
1 ;;; VPN
chain=input action=accept protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=1723 log=no log-prefix=""
2 chain=input action=accept protocol=gre dst-address=109.xxx.xxx.172 in-interface=wan2 log=no log-prefix=""
WAN2 = это порт? или что это? Если у Вас статика, то WAN2 = должен быть порт, если рррое, знать ван2=рррое
tegr писал(а): 04 июн 2019, 12:59 Больше нет ничего интересного, наверное,
Конфиг хочу увидеть в режиме экспорта, устал читать.
В МАНГЛЕ нужны правила OUTPUT
без них роутер не знает как отвечать обратно (куда и с какова провайдера)
Поэтому РРТР/L2TP не будут работать.

Re: Микротик не отвечает на входящие соединения (маркировка маршуртов)

Добавлено: 04 июн 2019, 18:04
tegr
Vlad-2 писал(а): 04 июн 2019, 14:05
WAN2 = это порт? или что это? Если у Вас статика, то WAN2 = должен быть порт, если рррое, знать ван2=рррое
tegr писал(а): 04 июн 2019, 12:59 Больше нет ничего интересного, наверное,
Конфиг хочу увидеть в режиме экспорта, устал читать.
В МАНГЛЕ нужны правила OUTPUT
без них роутер не знает как отвечать обратно (куда и с какова провайдера)
Поэтому РРТР/L2TP не будут работать.
WAN2 - да, это порт со статикой, все верно, я еще не совсем деградировал :hi_hi_hi:

Прошу прощения за непонятные комментарии, типа service3 и прочего - все понятные и удобные комментарии были на русском, и при принте конфига не вышли - на скорую руку просто дописал

Output правило - оно ведь создано у меня, я его писал и в самом первом сообщении в данной теме, и в конфиге сообщением выше.

Код: Выделить всё

chain=output action=mark-routing new-routing-mark=MTS_IP_route passthrough=no  connection-mark=MTS_IP log=no
И так для каждого провайдера. Или вы имели в виду какое то другое правило?

Но не суть, я решил озвученную проблему, самым неожиданным для меня способом, после прочтения одной из статей, цитирую:
 РЕШЕНИЕ
Цепочка output, так как мы работаем только с трафиком, который генерирует в ответ на запрос соединения. Выбрали пакеты принадлежащие только определённым соединениям и отправили в именованную таблицу.

Вроде бы всё хорошо и всё должно работать но это не так, в RouterOS есть один маленький нюанс, который необходимо помнить и учитывать. Дело в том, что маршрутизатор прежде чем отправить пакет в цепочку output, смотрит в таблицу маршрутизации и ищет для адреса назначения подходящий маршрут в таблице main, есть всего три типа сервисов, которые умеют работать вне данного поведения, это ping, traceroute и ospf - это необходимо для работы в VRF.

На данный момент у нас нет маршрута по умолчанию в таблице маршрутизации main, встаёт вопрос, какой шлюз указать в качестве маршрута по умолчанию.

Все интерфейсы имеют способность падать, есть один интерфейс, который всегда находится в состоянии UP, но в RouterOS использовать его в конфигурации не представляется возможным - это Loopback.

В RouterOS данный интерфейс можно заменить пустым bridge.

/interface bridge> add name=Br-Loopback

А теперь создадим маршрут в таблице main, который необходим для преодоления выбора маршрута и попадания пакета в цепочку output.

/ip route> add dst-address=0.0.0.0/0 gateway=Br-Loopback distance=254

Источник: https://mikrotik.me/blog/69
И таки да, после создания маршрута по умолчанию с замыканием на себя, роутер стал отвечать на входящие соединения, появилась возможность подключения по PPTP и другим сервисам, которые запускаются на самом роутере.
Так же, исходя из цитаты выше, мне стало понятно, почему на пинг ответ приходил, но не работало остальное. И первый пакет сейчас перестал теряться, после добавления маршрута по умолчанию.

Поскольку вопрос решен, конфиг выкладывать пока не буду, не хочу шокировать вас еще больше :hi_hi_hi:

Но с правилами и адрес листами разберусь, спасибо.

Еще у меня остался не закрыт вопрос с hairpin nat, пусть и не поднимался конкретно в этой теме.
Стандартные правила, описываемые во всех мануалах не дают результата - наверное, для моей конфигурации с нескольких провайдеров и ip правило должно принимать другую, дополненную форму?
Стандартное выглядит так:

Код: Выделить всё

0 chain=dstnat action=dst-nat to-addresses=10.10.100.2 to-ports=40876 protocol=tcp src-address=10.10.100.0/24 dst-address=109.xxx.xxx.172 dst-port=49152
      log=no log-prefix="" 

 1  chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 protocol=tcp src-address=10.10.100.0/24 dst-address=10.10.100.2 dst-port=40876 log=no 
      log-prefix="" 
     
 2  chain=dstnat action=dst-nat to-addresses=10.10.100.2 to-ports=40876 protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=49152 
      log=no log-prefix=""

Re: Микротик не отвечает на входящие соединения (маркировка маршуртов)

Добавлено: 04 июн 2019, 18:28
Vlad-2
1) Костыльное решение.

2) Вы используете только марк-роутинг, а надо ещё и марк-коннекшен
2.1) Порядок правил в Мангле = очень Важен
2.2) в Мангле на каждого провайдера у меня (минимум) 4 правила (вход, транзит(двумя правилами) и выход)
2.3) 5-м правилом (на каждого провайдера) у меня сделан вызов адрес-листа, кому можно работать
явно через этого провайдера (кто в этом адрес-листе, тот и работает).
2.4) в таблице маршрутизации у меня есть:
а) маршрут маркированный на каждого провайдера, благодаря этому маршруту,
пакеты ранее помеченные марк-коннекшион туда обратно возвращаются.
И туда же уходят те, кто работает по адрес-листу принудительно.
б) также, у роутера есть дефолтный маршрут, без маркировки, по-умолчанию
я делаю его на основного/скоростного провайдера, но метрикой 1, а с метрикой
2 уже второй провайдер, с метрикой 3 = третий.
Так что в случаи падения каналов, всё что явно было не описано, пойдёт во второй канал,
когда он станет по-умолчанию.

Вот и всё...

3) У меня нет "костылей" в таблице маршрутов, и всё работает, и сервисы, и пробросы и прочее.

4) Да, про бридж и то что он всегда в "Up'е" я знаю, и пользуюсь этим функционалом,
но больше в рамках работы служб, а именно тот же DHCP я поднимаю только
на бридже, и есть в бридже порты(или нет их), подключены к портам что-то или кто-то,
не важно, бридж есть, он в Up'е, и DHCP как сервис работает без алармов.

5) Интернет можно давать всем, а тем кому не надо, сделать правило-ловушку (в закладке НАТ),
и естественно это правило должно быть выше (первее) чем другие правила НАТ.
И в этом правиле ссылаться на адрес-лист (у меня к примеру LNAT-DENY).
Интернет им запрещён, но в рамках локальной сети, и даже если есть какая-то лок. сеть, куда
можно попасть лишь с трансляцией = всё это для них также можно и работает.

6) Может Вам часть сервисов вынести на отдельный сервер, и делать пробросы на него (так
хоть сервер в случаи атак умрёт, а не пол-сети с компами) или как-то иначе продумать и пересмотреть.
Каждый порт наружу = это лишняя лазейка, почти открытая дверь....

Re: Микротик не отвечает на входящие соединения (маркировка маршуртов)

Добавлено: 11 июн 2019, 10:55
tegr
Прошу прощения, можете показать пример манглов для одного из ваших провайдеров?

Про количество пробросов - не все предназначены для общей публикации в интернет.
Там где можно было ограничить по src adr, я ограничил, в некоторых случаях возможности нет.
Используя VPN можно будет ограничить все остальное и избавиться от большого количества правил.

Re: Микротик не отвечает на входящие соединения (маркировка маршуртов)

Добавлено: 11 июн 2019, 14:27
Vlad-2
tegr писал(а): 11 июн 2019, 10:55 Прошу прощения, можете показать пример манглов для одного из ваших провайдеров?
В рамках одного вряд ли поймёте.

(ссылка ниже), Вот писал "шпору", 90% описано как сделать с нуля работающую конфигурацию,
уже где-то 3-4 человек отблагодарили за это время через ЛС (сказали спасибо),
а 10% это на самостоятельность и на внимательность.

Статья (читать внимательно):
viewtopic.php?p=58201#p58201
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB