/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=new \
passthrough=yes
add action=mark-routing chain=output dst-address=8.8.8.8 new-routing-mark=\
new1 passthrough=yes
/ip route
add distance=1 gateway=2.2.2.2
add distance=2 gateway=1.1.1.1 routing-mark=new1
Проверил на стенде. С роутера 8.8.8.8 выходит на 2 провайдера. С пк через первого.
трафик с маршрутизатора в нужный интерфейс
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Спасибо, за желание помочь. Буду разбираться. Где-то у меня что-то не так. Может fasttrack мешает (хотя пробовал отключать и перезагружать роутер) - не помогло. Не пойму, почему не хочет у меня трафик OUTPUT ходить через определенный WAN-интерфейс (пусть провайдер считаем, хотя там у меня пограничный другой роутер - я на него шлю). Если то же самое делаю с помощью /ip route rules - нормально всё ... Боюсь тут нужен человек, хорошо разбирающийся в схемах прохождения трафика ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Тоже были проблемы когда отсылал сообщения в телегу через апи, но сильно разбираться не стал попробовал нат, он помог и я начал натить "заруленый" траффик.Sertik писал(а): ↑13 мар 2020, 18:25 Спасибо, за желание помочь. Буду разбираться. Где-то у меня что-то не так. Может fasttrack мешает (хотя пробовал отключать и перезагружать роутер) - не помогло. Не пойму, почему не хочет у меня трафик OUTPUT ходить через определенный WAN-интерфейс (пусть провайдер считаем, хотя там у меня пограничный другой роутер - я на него шлю). Если то же самое делаю с помощью /ip route rules - нормально всё ... Боюсь тут нужен человек, хорошо разбирающийся в схемах прохождения трафика ...
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=output dst-address-list=freeVPN new-routing-mark=freeVPN passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat dst-address-list=freeVPN out-interface=CHR_Amsterdam
/ip route
add distance=1 gateway=192.168.77.4 routing-mark=freeVPN
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Спасибо, попробую, отпишусь ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
To KaNelam: вы не правы, матчасть нужно смотреть не Sertik'у. Вот очень наглядная схема packet flow ( да простит меня Дмитрий Скоромнов, но его схема наиболее понятная мне)
Если смотреть цепочку output, то трафик пойдёт вот так
То есть явно решение о маршрутизации (routing decision) принимать-то и негде, потому что этот момент стоит в самом начале пути пакета, до маркировки. Есть обходной путь в виде настройки маршрутизации (routing adjustment), но я не понял пока, как именно этот момент настроить. Мне самому стало интересно, поэтому я пока буду отслеживать тему. Возможно, кто-то более подкованный в этом вопросе просветит меня и остальную аудиторию.
Кстати KARaS'b , srcnat включён в эту схему в нужном месте, поэтому по идее должно сработать... Ждём, что скажет Sertik
Если смотреть цепочку output, то трафик пойдёт вот так
То есть явно решение о маршрутизации (routing decision) принимать-то и негде, потому что этот момент стоит в самом начале пути пакета, до маркировки. Есть обходной путь в виде настройки маршрутизации (routing adjustment), но я не понял пока, как именно этот момент настроить. Мне самому стало интересно, поэтому я пока буду отслеживать тему. Возможно, кто-то более подкованный в этом вопросе просветит меня и остальную аудиторию.
Кстати KARaS'b , srcnat включён в эту схему в нужном месте, поэтому по идее должно сработать... Ждём, что скажет Sertik
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Был не прав. На стенде я получил нужный результат и выложил. Похоже что-то забыл... Завтра перепроверю еще раз. Самому интересно.
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Разобрался окончательно. В одном из маршрутов шлюзом вытупал интерфейс (тот через который улетал трафик output), нужен ip.
Достаточно оказалось одного правила:
Достаточно оказалось одного правила:
Код: Выделить всё
/ip firewall mangle
chain=output action=mark-routing new-routing-mark=new passthrough=yes dst-address=8.8.8.8 log=no log-prefix=""
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Приветствую всех ! Ну что
На роутере, на котором я "страдаю гемороем" установлен Dude-сервер, "следящий" за многими локальными и удаленными VPN-сетями. И работать ему приходится через разные WAN-каналы в зависимости от их доступности и некоторых других условий ... Геморой настоящий, думаю, может придется нормальную балансировку каналов на нём делать, но очень не охота, так как, "навернуто" на нём уже много чего и не ясно как это потом заставить работать.
А вообще всем спасибо большое. Отдельно Karas`b и Podarok66, конечно.
Скажу, что совет Karas`b мне реально помог. Всё заработало, как я хотел. Только так и не понял (к своему стыду) почему ... Когда стал Натить исходящий output меченный трафик - всё заработало. Теперь думаю - да, хорошо, но ведь не правильно это, так как, приходится мне по сути натить локальный трафик между своими роутерами... Как бы по другому нельзя выходит согласно схеме трафика ?"скажет Sertik ?"
На роутере, на котором я "страдаю гемороем" установлен Dude-сервер, "следящий" за многими локальными и удаленными VPN-сетями. И работать ему приходится через разные WAN-каналы в зависимости от их доступности и некоторых других условий ... Геморой настоящий, думаю, может придется нормальную балансировку каналов на нём делать, но очень не охота, так как, "навернуто" на нём уже много чего и не ясно как это потом заставить работать.
А вообще всем спасибо большое. Отдельно Karas`b и Podarok66, конечно.
Последний раз редактировалось Sertik 16 мар 2020, 23:49, всего редактировалось 1 раз.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Вот тут интересную переписку нашел небезызвестного спеца "Chupaka" с другим комрадом ...
http://forum.ru-board.com/topic.cgi?for ... start=1100
Это насчет Routing Adjustment
Но до этого уровня мне как до Марса ...
Хотя, получается, что я ничего не зная, действуя методом проб и ошибок интуитивно использовал именно этот механизм, указав в правиле для мангл для исходящего трафика output меченный маршрут ...
т.е. механизм Routing Adjustment работает вроде как при подобных конструкциях, как я понял (ниже для примера):
http://forum.ru-board.com/topic.cgi?for ... start=1100
Это насчет Routing Adjustment
Но до этого уровня мне как до Марса ...
Хотя, получается, что я ничего не зная, действуя методом проб и ошибок интуитивно использовал именно этот механизм, указав в правиле для мангл для исходящего трафика output меченный маршрут ...
т.е. механизм Routing Adjustment работает вроде как при подобных конструкциях, как я понял (ниже для примера):
Код: Выделить всё
/ip firewall mangle add action=mark-routing chain=output disabled=yes dst-address-list=vpn_net new-routing-mark="outroot" passthrough=no
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1 interface=ether1 check-gateway=ping gateway-state=reachable distance=1 scope=30 target-scope=10 routing-mark="outroot"
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947