Доброго времени суток. У меня возникла следующая проблема, не могу настроить маршрутизацию таким образом, что бы пришедшие пакеты из внешней сети уходили бы ту да же. Проблема конкретно вот в чем: есть два гейтвэя 10.101.16.1, в который мкт смотрит ip-шником 10.101.16.1 c порта eth9. и второй 172.16.7.1, в который мкт смотрит Ip-шником 172.16.7.2 с порта eth7.
Задача: нужно, что бы все пакеты, пришедшие на eth9 уходили обратно тем же маршрутом, а все остальные уходили бы либо через eth7 либо через другие порты, на mkt крутиться OSPF и много хостов и маршрутов других, к которым траффик отправляется не через gateway. Ну то такое, мелочи.
В общем проблема, не могу добиться этого, стоит dst-nat, который при обращении на 10.101.16.100 по порту 3389 редиректит на 10.87.0.168 тот же порт, настроил логирование. и ответ от 10.87.0.168
Я уже много раз делал подобные настройки и все ок было, что сейчас не так? помогите пожалуйста, может я в 3х соснах заблудился?
Настройки mangle
1 chain=input action=mark-connection new-connection-mark=Corp-int passthrough=yes in-interface=ether9 log=no log-prefix=""
2 chain=output action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp-int log=no log-prefix=""
3 chain=forward action=mark-connection new-connection-mark=Corp-int passthrough=yes in-interface=ether9 log=no log-prefix=""
4 chain=prerouting action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp-int log=no log-prefix=""
В настройках в гейте на 10101.16.1 указана routing mark=Corp
Что я делаю не так?
настройки mangle, проблема
-
- Сообщения: 108
- Зарегистрирован: 19 окт 2018, 13:44
у меня всегда работает такая типовая конструкция
/ip route 0.0.0.0/0 add gate="..." routing-mark="1"
/ip firewall mangle chain=prerouting action=mark-connection new-connection-mark=conn-1 in-interface=ether1
/ip firewall mangle chain=output action=mark-routing new-routing-mark=1 connection-mark=conn-1 и и и с passthrough - не мешает ли чего в firewall.
/ip route 0.0.0.0/0 add gate="..." routing-mark="1"
/ip firewall mangle chain=prerouting action=mark-connection new-connection-mark=conn-1 in-interface=ether1
/ip firewall mangle chain=output action=mark-routing new-routing-mark=1 connection-mark=conn-1 и и и с passthrough - не мешает ли чего в firewall.
-
- Сообщения: 10
- Зарегистрирован: 01 ноя 2019, 13:22
- Откуда: Новосибирск
нет, ничего вроде не мешает, запрещающих правил вообще нет, могу логи предоставить но не знаю помогут ли они тут. Проблема вроде ясна, но решить не могу, видимо не достаточно знаю о mangle.
-
- Сообщения: 108
- Зарегистрирован: 19 окт 2018, 13:44
В 1 правиле input на prerouting заменить
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
У меня так, и порядок правил в MANGLE имеет значение!
Код: Выделить всё
/ip firewall mangle
add action=mark-connection chain=input comment="Mark-conn input on ISP1_in" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_in passthrough=no
add action=mark-connection chain=forward comment="Mark-conn forward on ISP1_in to new-mark ISP1_for" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP1_for to route via iface of ISP1" connection-mark=ISP1_for new-routing-mark=ISP1_rout passthrough=no src-address-list=LocalNet
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP1_in to route via iface ISP1" connection-mark=ISP1_in new-routing-mark=ISP1_rout passthrough=no
-
- Сообщения: 10
- Зарегистрирован: 01 ноя 2019, 13:22
- Откуда: Новосибирск
Спасибо огромное, попробую, если что с логами отпишусь.
-
- Сообщения: 10
- Зарегистрирован: 01 ноя 2019, 13:22
- Откуда: Новосибирск
нет, проблема не ушла, обращаюсь на ip 10.101.16.100 по порту 3389 стоит dst-nat при обращении на 10.101.16.100 редирект на ip 10.87.0.168, но не отрабатывает правило и вообще ничего не происходит и телнет дропает по таймауту
при отключении правил мангл то же самое, может дело не в мангл?
Может я где-то очевидно ошибки не вижу? взгляните подалуйста. вот правила НАТ Вот обновил mangle
при отключении правил мангл то же самое, может дело не в мангл?
Может я где-то очевидно ошибки не вижу? взгляните подалуйста. вот правила НАТ Вот обновил mangle
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Покажите все Ваши сети с масками.
2) Не совсем понимаю, при чём тут Мангл (маркировка) и проброс запросов из одной сети в другую?
3) И смущает такая фраза Ваша:
уже потом, это обратно туда же и отдать/вернуть (если того требует условие).
Вы хотите что-то другое судя по всему, а что - не понятно.
И ЕЩЁ: маршрутизация это работа с IP, а не портами (порт7, порт9), поэтому думаю может в этом
у Вас ошибка. Описывайте не только где куда принять/отправить, в таблице маршрутизации
Вы должны работать с IP, а не с портами там.
2) Не совсем понимаю, при чём тут Мангл (маркировка) и проброс запросов из одной сети в другую?
3) И смущает такая фраза Ваша:
Значит надо описать что пришло, пометить что это пришло (про-маркировать нужной меткой) и
уже потом, это обратно туда же и отдать/вернуть (если того требует условие).
А что всё остальное, мы приняли ВЕСЬ трафик на порту 9, пометили и вернули.
Вы хотите что-то другое судя по всему, а что - не понятно.
И ЕЩЁ: маршрутизация это работа с IP, а не портами (порт7, порт9), поэтому думаю может в этом
у Вас ошибка. Описывайте не только где куда принять/отправить, в таблице маршрутизации
Вы должны работать с IP, а не с портами там.
-
- Сообщения: 10
- Зарегистрирован: 01 ноя 2019, 13:22
- Откуда: Новосибирск
Благодарю, я знаю, что такое маршрутизация, про порты я сказал, в надежде на то, что читающий поймет, что дефолт гэйт-вэйев несколько, в чем cобственно и загвоздка, кроме дефолт гейт-вэйев есть еще маршруты из OSPF, таблица маршрутизации выглядит вот так:Vlad-2 писал(а): ↑25 мар 2020, 14:30 А что всё остальное, мы приняли ВЕСЬ трафик на порту 9, пометили и вернули.
Вы хотите что-то другое судя по всему, а что - не понятно.
И ЕЩЁ: маршрутизация это работа с IP, а не портами (порт7, порт9), поэтому думаю может в этом
у Вас ошибка. Описывайте не только где куда принять/отправить, в таблице маршрутизации
Вы должны работать с IP, а не с портами там.
Кроме двух гейтов есть и другие маршруты, возможно логика микротикав маршрутизировании другая, но я выращен на старых учебниках Cisco, где написано: что сперва определяется маршрут с наиболее узкой маской для дестенэйшена, потом уже учитывается вес и тип маршрута. Поэтому оговрился, что есть и другие маршруты.
Но раз я пришел сюда просить помощи, то выложу, все что просите, сеть все равно приватная, и адреса меняются.
мои адреса:
\
-
- Сообщения: 10
- Зарегистрирован: 01 ноя 2019, 13:22
- Откуда: Новосибирск
Ну на счет уговорил начальство я звезданул немного, это мне приказали найти дешёвую замену. Но в остальном все так.