2 ISP + vpn + nat

Обсуждение ПО и его настройки
Lucifer
Сообщения: 18
Зарегистрирован: 16 июл 2019, 09:04

xvo писал(а): 17 фев 2021, 22:53 нет ли там в настройках email привязки к определенному адресу с которого он это шлет.
Да нет, там все без нюансов... У меня на абсолютно таких же настройках e-mail прекрасно ходят сообщения с разных микротиков, находящихся в разных сетях... Но там по одному ISP...


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну у меня вот только одно предположение: что пакет создается с неправильным src-address (принадлежащим другому WAN, который в данный момент не активен).

Можно попробовать торчем на исходящем интерфейсе посмотреть, что там по факту уходит.
Ну или src-nat принудительно сделать для этих пакетов в правильный адрес, и смотреть поправит ли это ситуацию, для теста.


Telegram: @thexvo
Lucifer
Сообщения: 18
Зарегистрирован: 16 июл 2019, 09:04

xvo писал(а): 18 фев 2021, 12:02 Ну у меня вот только одно предположение:
В общем-то, наконец, разобрался...
Торч ничем не помог.
Снифер с фильтром по 465-му порту показал, что есть исходящий пакет (там все как надо), но нет ответа...
Для перестраховки проверил:
/system telnet smtp.gmail.com 465
Cnnecting to IP - и тишина... Попробовал зайти сбоку
/system telnet smtp.gmail.com 587
А вот тут- на тебе, есть продолжение.
В общем: /tool e-mail set port=587 start-tls=yes - и почта пошла...
В понедельник надо пинать провайдера (на всякий случай :) )...


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Lucifer писал(а): 21 фев 2021, 15:49 В понедельник надо пинать провайдера (на всякий случай :) )...
Провайдер не при делах. Давно уже smtp.gmail.com на 587 порту.


Lucifer
Сообщения: 18
Зарегистрирован: 16 июл 2019, 09:04

mafijs писал(а): 21 фев 2021, 15:56 Провайдер не при делах. Давно уже smtp.gmail.com на 587 порту.
Gmail прекрасно везде и на 465-м по ssl работает. А вот на каких основаниях провайдер порт "банит" - вопрос. Мало ли чего он еще будет резать без предупреждения...


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Mikrotik работает на TLS


Lucifer
Сообщения: 18
Зарегистрирован: 16 июл 2019, 09:04

mafijs писал(а): 21 фев 2021, 17:43 Mikrotik работает на TLS
Умеет работать. А работает - как настроите, так и работает. У меня с 10-к прекрасно работает на ssl. Через тот-же гмайл-аккаунт. Вероятно работал и через этого провайдера когда-то (скорее всего когда запускал - проверял, но было давно - точно не помню).
Тем не менее "обрезку" по исходящим портам - вряд ли можно считать нормальной ситуацией.


Lucifer
Сообщения: 18
Зарегистрирован: 16 июл 2019, 09:04

...
Может кто подскажет...
В общем так:
Есть рабочий мультиван, но мне показалось, что эта реализация лучше...
В общем без наворотов: беру пустую CHR (без дефолтной конфигурации). На виртуалке 2 интерфейса. На "родительском" роутере dhcp отдает на ether1 CHR 192.168.44.69, ну и добавлен адрес 192.168.77.1/24.
На девственно пустой CHR накатываю скрипт:

Код: Выделить всё

/ip dhcp-client
add add-default-route=no disabled=no interface=ether1
/ip address
add address=192.168.77.2/24 interface=ether2 network=192.168.77.0
#BOGONS
/ip firewall address-list
#ну понятно, - тут добавляю список соответствующих диапазонов...
#
/ip firewall mangle
add chain=prerouting	dst-address=192.168.44.0/24	in-interface=ether1	connection-state=new	action=mark-connection	new-connection-mark=Prerouting/GW/192.168.44.1 passthrough=no
add chain=prerouting	dst-address=192.168.77.0/24	in-interface=ether2	connection-state=new	action=mark-connection	new-connection-mark=Prerouting/GW/192.168.77.1 passthrough=no
#
add chain=output	connection-mark=Prerouting/GW/192.168.44.1	action=mark-routing	new-routing-mark=Next-Hop/192.168.44.1	passthrough=no
add chain=output	connection-mark=Prerouting/GW/192.168.77.1	action=mark-routing	new-routing-mark=Next-Hop/192.168.77.1	passthrough=no
#
add chain=output	src-address=192.168.44.0/24	dst-address-list=!BOGONS	action=mark-routing	new-routing-mark=Next-Hop/192.168.44.1	passthrough=no
add chain=output	src-address=192.168.77.0/24	dst-address-list=!BOGONS	action=mark-routing	new-routing-mark=Next-Hop/192.168.77.1	passthrough=no
#
add chain=prerouting	in-interface=!ether1	connection-mark=Prerouting/GW/192.168.44.1	action=mark-routing	new-routing-mark=Next-Hop/192.168.44.1 passthrough=no
add chain=prerouting	in-interface=!ether2	connection-mark=Prerouting/GW/192.168.77.1	action=mark-routing	new-routing-mark=Next-Hop/192.168.77.1 passthrough=no
#
#Для выхода через конкретный интерфейс. Списки via-... на данный момент не сформированы
add chain=prerouting	src-address-list=via/192.168.44.69	dst-address-list=!BOGONS	action=mark-routing	new-routing-mark=Next-Hop/192.168.44.1 passthrough=no
add chain=prerouting	src-address-list=via/192.168.77.2	dst-address-list=!BOGONS	action=mark-routing	new-routing-mark=Next-Hop/192.168.77.1 passthrough=no
#
add chain=postrouting connection-mark=no-mark connection-state=new out-interface=ether1 routing-mark=main action=mark-connection new-connection-mark=ECMP/192.168.44.69 passthrough=no
add chain=postrouting connection-mark=no-mark connection-state=new out-interface=ether2 routing-mark=main action=mark-connection new-connection-mark=ECMP/192.168.77.2   passthrough=no
#
add chain=output	connection-mark=ECMP/192.168.44.69 action=mark-routing new-routing-mark=Next-Hop/192.168.44.1 passthrough=no
add chain=output	connection-mark=ECMP/192.168.77.2  action=mark-routing new-routing-mark=Next-Hop/192.168.77.1  passthrough=no
#
/ip firewall nat
add chain=srcnat routing-mark=Next-Hop/192.168.44.1 src-address-list=via/192.168.44.69 action=src-nat to-address=192.168.44.69
add chain=srcnat routing-mark=Next-Hop/192.168.77.1 src-address-list=via/192.168.77.2   action=src-nat to-address=192.168.77.2
#
add action=src-nat chain=srcnat connection-mark=ECMP/192.168.44.69 to-address=192.168.44.69
add action=src-nat chain=srcnat connection-mark=ECMP/192.168.77.2   to-address=192.168.77.2
#
/interface bridge
add name=Br-Loopback
#
/ip route
add gateway=192.168.44.1	routing-mark=Next-Hop/192.168.44.1
add gateway=192.168.77.1	routing-mark=Next-Hop/192.168.77.1
add gateway=Br-Loopback		distance=254	pref-src=192.168.44.69
#ECMP - balance
add gateway=192.168.44.1,192.168.44.1,192.168.77.1 pref-src=192.168.44.69
#
/ip route rule
add action=lookup-only-in-table	routing-mark=Next-Hop/192.168.44.1 table=Next-Hop/192.168.44.1
add action=lookup-only-in-table	routing-mark=Next-Hop/192.168.77.1 table=Next-Hop/192.168.77.1
#
Иных записей (типа /ip firewall filter - нет от слова вообще)
Однако результат: изнутри вроде все нормально, однако снаружи на 192.168.77.2 пинг тдет, а на 192.168.44.69 - нет...
Где "собака порылась"?


Ответить