Маркировка домена

[meczengo]

нет доступа к этим доменам, но из-за них в роут уходят мои, и все остальные, каких могут быть тысячи на ip адресах cloudflare

[xvo]

Вы хотите отделить свои домены, которые указывают на ресурсы, находящиеся физически в вашей внутренней сети, от чужих, которые на тех же белых адресах cloudflare?
Просто добавьте DNS записи для своих доменов, указывающие на внутренние адреса, и все.

[meczengo]

Нет, это сайты, которые так же проксируются cloudflare в интернет.

[xvo]

А зачем на них ходить другим маршрутом, если они проксируются через тот же IP?

[meczengo]

Мне на них нужно ходить прямым маршрутом, а не через роут. Да, я понимаю, что их можно прописать в статических правилах dns на их адреса за CF. Но во-первых их много, во-вторых их конфиги так же постоянно меняются. Если же на них ходить через роут это вызывает некоторые неудобства и путаницу, и вообще это ни к чему. В роут нужно отправить 3 домена, а уходит все что есть на ip адресах cloudflare.

[xvo]

Можно попробовать по tls-host маркировать, или если там http - по layer7, а больше, учитывая, что адреса динамические, особо нет идей, как это на одном микротике провернуть.

На двух можно.
На первом по DNS отдавать фиктивные адреса, которые будут принадлежать второму, на втором обращения натить в реальные адреса (скриптом держать их в актуальном состоянии), и плюс отправлять на первый от своего имени.
И вот тогда на первом легко маркировать на основании источника.
Возможно это можно как-то и на одном провернуть - с двумя vrf и патчкордом между своими же портами.

[meczengo]

По TLS host вроде маркируется, по крайней мере по логам, но запрос к сайту не проходит ERR_CONNECTION_RESET. Может как то не так маркирую: mangle -> prerouting, protocol: tcp, tsl host: cloudflare.com, action: mark routing. Похоже не все пакеты уходят в роут.

[xvo]

Стандартно: fasttrack отключен?

И почему cloudflare.com?
Вам надо свои сайты смотреть, будет ли работать для них.

[meczengo]

Включен, с выключенным тоже не работает. cloudflare.com для примера, согласен не очень удачный, с другими доменами тоже не работает.

На двух можно.
На первом по DNS отдавать фиктивные адреса, которые будут принадлежать второму, на втором обращения натить в реальные адреса (скриптом держать их в актуальном состоянии), и плюс отправлять на первый от своего имени.
И вот тогда на первом легко маркировать на основании источника.
Возможно это можно как-то и на одном провернуть - с двумя vrf и патчкордом между своими же портами.

Кстати, а на одном разве тоже самое сделать не получится, скриптом поддерживать актуальность to-addresses в dst-nat?

Вот думаю заморочиться с api через сервер на php (на микроте мне сложно будет написать такое из-за синтаксиса). В целом все это выглядит жутким оверхедом.

[xvo]

Значит, во первых fasttrack в любом случае отключать, как минимум для части трафика, которая не ходит по таблице main - без этого все мараировки просто бесполезны, не применительно к ситуации с tls (вообще не известно, рабочий ли это вариант в принципе), а вообще.

А во-вторых, действительно должно получиться на одном роутере: mangle prerouting же идет до dst-nat, так что по dns отдаем фиктивный адрес, дальше эти пакеты на фиктивный адрес ловим в prerouting’е, помечаем соединение, заворачиваем в другую таблицу, и тут же в dst-nat меняем адрес на правильный.