Настала пора разобраться, как именно, и пересекаются ли в принципе между собой вещи, указанные в сабже или нет.
А именно, достаточно ли прокрасить пакеты фаирволом чтобы ядро маршрутизации начало их обрабатывать по другой таблице или нет?
По идее как-бы нет, но по например статья https://wiki.mikrotik.com/wiki/Policy_Base_Routing ничего не говорит про правила машрутизации, а во встречаемых мною ранее статьях - говорилось.
Короче, в сети много путаницы по данной теме. Настала пора (для меня) расставить точки над ё, ищу попутчиков в данном вопросе.
Могу расчехлить тестовый стенд. Да, попутно ещё можно обсудить FastTrack в данном контексте, с ним тоже много путаницы.
Потеоретизировать: Firewall Mangle mark routing vs ip route rule
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Ну и как это в вики не говорится про ручной маршрут?kirill_ant писал(а): ↑25 дек 2019, 12:53
По идее как-бы нет, но по например статья https://wiki.mikrotik.com/wiki/Policy_Base_Routing ничего не говорит про правила машрутизации, а во встречаемых мною ранее статьях - говорилось.
Код: Выделить всё
Step Three – Static Route
In this Step we need add a static route for That Packets They Are Matched and Marked By Mangle And We Want Route Them To VPN Connection .
Код: Выделить всё
Ip Route Add Dst-Address=0.0.0.0/0 Gateway="My VPN" Routing-Mark=Through_VPNЧто касается FastTrack - то мой принцип с миротиком такой: если понадобился фасттрак (а пару лет назад также аппаратный свитч), то устройство для требуемых задач выбрано неверно, нужно покупать мощнее. Да, эта функция есть и она греет душу, но нужно понимать, что возможности обработки пакетов, которые попали в фасттрак сильно ограничены, и из роутера получается почти коммутатор, но ведь мы его не для этого покупали. То есть фасттрак оправдан, имхо, как временное решение: пока так поработает, а потом купим по мощнее. Я этой функцией не пользуюсь.
-
Erik_U
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Бесполезно.
Наличие разнообразных настроек про одно и то же в разных местах РОС связано с тем, что микротик пытается быть совместимым со всем, что есть в природе.
Одна настройка для взаимодействия с виндой, вторая - с циской. Если в списке выбрал значение - то часть чекбоксов на той же странице стало ни в коем случае нельзя использовать. Но они не стали неактивными. Их просто нельзя использовать.
И то, что есть - работоспособно с момента настройки до следующего обновления.
Например OSPF. в 46 версии перестало строить маршруты до сетей, которые есть только у одного инстанса, хотя они объявлены в конфигурации.
в 46.1 - о чудо! - снова строит, но теперь плевать хотела на стоимость. И вместо построения двух динамических маршрутов с разной стоимостью строит один с максимальной стоимостью из двух с двумя шлюзами внутри.
В результате нихера не работает, пока не отключишь руками один из. При том, что 2 обновления назад работало как часы.
И так везде. Стоит только чуть глубже нырнуть.
Поэтому ваше выяснение потребует огромного количества сил, но станет неактуальным после следующего обновления.
РОС - это такой калейдоскоп. С ним не скучно нифига.
Наличие разнообразных настроек про одно и то же в разных местах РОС связано с тем, что микротик пытается быть совместимым со всем, что есть в природе.
Одна настройка для взаимодействия с виндой, вторая - с циской. Если в списке выбрал значение - то часть чекбоксов на той же странице стало ни в коем случае нельзя использовать. Но они не стали неактивными. Их просто нельзя использовать.
И то, что есть - работоспособно с момента настройки до следующего обновления.
Например OSPF. в 46 версии перестало строить маршруты до сетей, которые есть только у одного инстанса, хотя они объявлены в конфигурации.
в 46.1 - о чудо! - снова строит, но теперь плевать хотела на стоимость. И вместо построения двух динамических маршрутов с разной стоимостью строит один с максимальной стоимостью из двух с двумя шлюзами внутри.
В результате нихера не работает, пока не отключишь руками один из. При том, что 2 обновления назад работало как часы.
И так везде. Стоит только чуть глубже нырнуть.
Поэтому ваше выяснение потребует огромного количества сил, но станет неактуальным после следующего обновления.
РОС - это такой калейдоскоп. С ним не скучно нифига.
-
kirill_ant
- Сообщения: 7
- Зарегистрирован: 25 дек 2019, 12:40
Я всё написал корректно если причитать внимательно, про "ручной маршрут" - говорится. Что есть по сути создание в ведре таблицы маршрутизации.
А вот про /ip route rule add - ни слова.
Таким образом вы сейчас показываете что вам тоже данная тема актуальна.
Я например уже на одном живом абоненте проверил что покрасить трафик в текущем релизе достаточно для того чтобы он побежал в другую сторону.
Несмотря на то что в некоторых руководствах (искать не буду, но поверьте на слово) была рекомендация и красить трафик и создавать политики маршрутизации.
И вот да, нигде не видел статьи что типа "политики маршрутизации это кастрат и легаси и теперь всё делаем раскрашиванием трафика в фаирволе" а по идее так нужно бы написать. Или нет?
>FastTrack ненужен
а я вот с вами не согласен(пока). Очень даже успешно пользуюсь. Хотел бы знать про него побольше.
>Аппаратный свитчинг ака switch-chip-features
а вот тут уже согласен. Ибо адово много времни убил на изучение чего там и как. И даже вон валяется один CRS который я честно скажу так и не осилел до конца, но мне не стыдно, потому что похоже что до конца его не осилел никто, а сам вендор как-то дыстро и стыдливо данную линейку свернул и запустил новую менее кривую, но я уже больше не куплюсь, спасибо )
А вот про /ip route rule add - ни слова.
Таким образом вы сейчас показываете что вам тоже данная тема актуальна.
Я например уже на одном живом абоненте проверил что покрасить трафик в текущем релизе достаточно для того чтобы он побежал в другую сторону.
Несмотря на то что в некоторых руководствах (искать не буду, но поверьте на слово) была рекомендация и красить трафик и создавать политики маршрутизации.
И вот да, нигде не видел статьи что типа "политики маршрутизации это кастрат и легаси и теперь всё делаем раскрашиванием трафика в фаирволе" а по идее так нужно бы написать. Или нет?
>FastTrack ненужен
а я вот с вами не согласен(пока). Очень даже успешно пользуюсь. Хотел бы знать про него побольше.
>Аппаратный свитчинг ака switch-chip-features
а вот тут уже согласен. Ибо адово много времни убил на изучение чего там и как. И даже вон валяется один CRS который я честно скажу так и не осилел до конца, но мне не стыдно, потому что похоже что до конца его не осилел никто, а сам вендор как-то дыстро и стыдливо данную линейку свернул и запустил новую менее кривую, но я уже больше не куплюсь, спасибо )
Последний раз редактировалось kirill_ant 25 дек 2019, 13:45, всего редактировалось 1 раз.
-
kirill_ant
- Сообщения: 7
- Зарегистрирован: 25 дек 2019, 12:40
Я вот имею много микротов под управлением посему как только появилось old-stable То пересел туда, чего и вам желаю. Там последний релиз был довольно давно, да и вообще они там не часто бывают.
Так-что более-менее стабильно там всё.
-
Erik_U
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Это просто разные механизмы.
Не написано только, какой первым отрабатывается.
Не написано только, какой первым отрабатывается.
-
kirill_ant
- Сообщения: 7
- Зарегистрирован: 25 дек 2019, 12:40
Очень много всего про данные механизмы "не написано". Вот собственно я и хотел разобраться, подумал что может быть тут.
Как например я в своё время разобрался с аппаратным свитчингом на дешёвых моделях а-ля 750.
Строго говоря вообще как-бы вроде нигде не написано что ведро (а маршрутизирует то оно же ведь) хоть как-то должно реагировать на наличие у пакетов каких-то там меток в плоскости фаирвола.
Как например я в своё время разобрался с аппаратным свитчингом на дешёвых моделях а-ля 750.
Строго говоря вообще как-бы вроде нигде не написано что ведро (а маршрутизирует то оно же ведь) хоть как-то должно реагировать на наличие у пакетов каких-то там меток в плоскости фаирвола.
-
Erik_U
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Нет, не должно.kirill_ant писал(а): ↑25 дек 2019, 13:52 хоть как-то должно реагировать на наличие у пакетов каких-то там меток в плоскости фаирвола.
Написано, что все, что в аппаратный свич спущено, уже не обрабатывается РОС.
А фаервол - это РОС.
Как выяснилось, если включить аппаратный свич, то и снифер пакетов работает в границах одной (первой) группы портов.
-
kirill_ant
- Сообщения: 7
- Зарегистрирован: 25 дек 2019, 12:40
>все, что в аппаратный свич спущено
я не про это опять же, вы L2 уже уехали, я про именно то что метки живут в плоскости фаивола, а маршрутизация это отдельная подсистема.
И тем не менее факт что сейчас навешивание роутинг-метки в фаирволе меняет выбор маршрута.
А вики сама признаёт что наверное она немного устарела. https://wiki.mikrotik.com/wiki/Manual:R ... n_RouterOS
Наверное, с 2010 то года.
Я так понимаю теоретизировать и экспериментировать особо желающих нету и тут тоже.
я не про это опять же, вы L2 уже уехали, я про именно то что метки живут в плоскости фаивола, а маршрутизация это отдельная подсистема.
И тем не менее факт что сейчас навешивание роутинг-метки в фаирволе меняет выбор маршрута.
А вики сама признаёт что наверное она немного устарела. https://wiki.mikrotik.com/wiki/Manual:R ... n_RouterOS
Наверное, с 2010 то года.
Я так понимаю теоретизировать и экспериментировать особо желающих нету и тут тоже.
-
Erik_U
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
В последнюю неделю года?kirill_ant писал(а): ↑25 дек 2019, 14:32
Я так понимаю теоретизировать и экспериментировать особо желающих нету и тут тоже.
Вы безработный?