[Решено]Mikrotik несколько ip не работает prb

Обсуждение ПО и его настройки
Ответить
Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Есть Mikrotik с несколькими(двумя: eth и pppoe) wan ip, необходимо в любой момент подключаться к нему по любому из этих ip.
Конфигурация маршрутов:

Код: Выделить всё

/ip route 
add dst-address=0.0.0.0/0 gateway=2.2.2.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=3.3.3.1 distance=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=2.2.2.1 distance=1 check-gateway=ping routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=3.3.3.1 distance=2 check-gateway=ping routing-mark=over-isp2

Манглы:

Код: Выделить всё

/ip firewall mangle
add chain=input in-interface=eth1-wan1 dst-address=2.2.2.20 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=output connection-mark=from-isp1 connection-state=established action=mark-roution new-routing-mark=over-isp1
add chain=input in-interface=tap1-wan2 dst-address=1.1.1.20 connection-state=new action=mark-connection new-connection-mark=from-isp2
add chain=output connection-mark=from-isp2 connection-state=established action=mark-roution new-routing-mark=over-isp2

В таком варианте происходит соединение только с активным(по default gateway) провайдером. Пробовал убирать проверку на connection state, прописывать Pref. Source, Добавлять правила в /ip route rule(связывал routing mark и lookup only in), не помогает. Что делаю не так?

Mkt: RB951U
ROS: 6.33
Последний раз редактировалось Senter 20 фев 2016, 13:29, всего редактировалось 1 раз.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Senter писал(а):В таком варианте происходит соединение только с активным(по default gateway) провайдером.

Ну перво наперво я думаю, что соединение возможно лишь по активному маршруту именно потому, что он активен. А как иначе-то? Читайте маршрут. В переводе на язык русского недоучки выйдет "все пакеты с ЛЮБЫМИ адресами доставки (0.0.0.0/0 - как бы намекает) пойдут через шлюз 2.2.2.1, так как условная дистанция по этому пути виртуально короче ( ищется наиболее короткий путь)"


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

да в принципе все у вас верно
Подправьте и будет счастье

/ip firewall mangle
add chain=input in-interface=eth1-wan1 action=mark-connection new-connection-mark=from-isp1
add chain=output connection-mark=from-isp1 action=mark-roution new-routing-mark=over-isp1
add chain=input in-interface=tap1-wan2 action=mark-connection new-connection-mark=from-isp2
add chain=output connection-mark=from-isp2 action=mark-roution new-routing-mark=over-isp2


Есть интересная задача и бюджет? http://mikrotik.site
Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

podarok66 писал(а):
Senter писал(а):В таком варианте происходит соединение только с активным(по default gateway) провайдером.

Ну перво наперво я думаю, что соединение возможно лишь по активному маршруту именно потому, что он активен. А как иначе-то? Читайте маршрут. В переводе на язык русского недоучки выйдет "все пакеты с ЛЮБЫМИ адресами доставки (0.0.0.0/0 - как бы намекает) пойдут через шлюз 2.2.2.1, так как условная дистанция по этому пути виртуально короче ( ищется наиболее короткий путь)"

Так в этом и суть pbr, я вешаю на пакеты новую маршрутную метку и отправляю в таблицу где единственным маршрутом(с наименьшей метрикой), является интерфейс на который пришел запрос.

да в принципе все у вас верно
Подправьте и будет счастье

У меня так внутренний pbr настроен(2 l2tp канала до ядра сети) и работает на ура, а вот с внешними провайдерами не срабатывает, потому и начал играться с connection state.


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

Вообще ситуация интересная, видимо маршрутные правила отрабатывают т.к. ping проходит по обоим адресам в независимости от defoult route, ssh тоже цепляется, а winbox(которым тестировал работоспособность) зависает после авторизации(появляется око с менюшкой, но все таблицы пустые), web вообще не открывается.


Rusx123
Сообщения: 13
Зарегистрирован: 13 май 2015, 12:16

passthrough=no добавьте в правила для mark-routing.

Пример для винбокса через dsl-router(192.168.3.254) на микротик (192.168.3.70).
ip ro pr where routing-mark~"DSL"
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.3.254 1
/ip firewall mangle
add action=mark-connection chain=input comment="winbox via dsl-con" dst-address=192.168.3.70 \
dst-port=8291 new-connection-mark=winbox-viaDSL protocol=tcp
add action=mark-routing chain=output comment="winbox-via dsl route" connection-mark=\
winbox-viaDSL new-routing-mark=Via-DSL passthrough=no


Senter
Сообщения: 98
Зарегистрирован: 25 ноя 2014, 12:27

>passthrough=no добавьте в правила для mark-routing.
Спасибо, помогло.


Ответить