трафик с маршрутизатора в нужный интерфейс

Обсуждение ПО и его настройки
KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=new \
passthrough=yes
add action=mark-routing chain=output dst-address=8.8.8.8 new-routing-mark=\
new1 passthrough=yes

/ip route
add distance=1 gateway=2.2.2.2
add distance=2 gateway=1.1.1.1 routing-mark=new1

Проверил на стенде. С роутера 8.8.8.8 выходит на 2 провайдера. С пк через первого.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо, за желание помочь. Буду разбираться. Где-то у меня что-то не так. Может fasttrack мешает (хотя пробовал отключать и перезагружать роутер) - не помогло. Не пойму, почему не хочет у меня трафик OUTPUT ходить через определенный WAN-интерфейс (пусть провайдер считаем, хотя там у меня пограничный другой роутер - я на него шлю). Если то же самое делаю с помощью /ip route rules - нормально всё ... Боюсь тут нужен человек, хорошо разбирающийся в схемах прохождения трафика ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Sertik писал(а): 13 мар 2020, 18:25 Спасибо, за желание помочь. Буду разбираться. Где-то у меня что-то не так. Может fasttrack мешает (хотя пробовал отключать и перезагружать роутер) - не помогло. Не пойму, почему не хочет у меня трафик OUTPUT ходить через определенный WAN-интерфейс (пусть провайдер считаем, хотя там у меня пограничный другой роутер - я на него шлю). Если то же самое делаю с помощью /ip route rules - нормально всё ... Боюсь тут нужен человек, хорошо разбирающийся в схемах прохождения трафика ...
Тоже были проблемы когда отсылал сообщения в телегу через апи, но сильно разбираться не стал попробовал нат, он помог и я начал натить "заруленый" траффик.

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=output dst-address-list=freeVPN new-routing-mark=freeVPN passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat dst-address-list=freeVPN out-interface=CHR_Amsterdam
/ip route
add distance=1 gateway=192.168.77.4 routing-mark=freeVPN


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо, попробую, отпишусь ... :-):


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

To KaNelam: вы не правы, матчасть нужно смотреть не Sertik'у. Вот очень наглядная схема packet flow ( да простит меня Дмитрий Скоромнов, но его схема наиболее понятная мне)
Изображение


Если смотреть цепочку output, то трафик пойдёт вот так
Изображение
То есть явно решение о маршрутизации (routing decision) принимать-то и негде, потому что этот момент стоит в самом начале пути пакета, до маркировки. Есть обходной путь в виде настройки маршрутизации (routing adjustment), но я не понял пока, как именно этот момент настроить. Мне самому стало интересно, поэтому я пока буду отслеживать тему. Возможно, кто-то более подкованный в этом вопросе просветит меня и остальную аудиторию.
Кстати KARaS'b , srcnat включён в эту схему в нужном месте, поэтому по идее должно сработать... Ждём, что скажет Sertik :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Был не прав. На стенде я получил нужный результат и выложил. Похоже что-то забыл... Завтра перепроверю еще раз. Самому интересно. :bra_vo:


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Разобрался окончательно. В одном из маршрутов шлюзом вытупал интерфейс (тот через который улетал трафик output), нужен ip.
Достаточно оказалось одного правила:

Код: Выделить всё

/ip firewall mangle
chain=output action=mark-routing new-routing-mark=new passthrough=yes dst-address=8.8.8.8 log=no log-prefix="" 


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Приветствую всех ! Ну что
"скажет Sertik ?"
Скажу, что совет Karas`b мне реально помог. Всё заработало, как я хотел. Только так и не понял (к своему стыду) почему ... :ny_tik: Когда стал Натить исходящий output меченный трафик - всё заработало. Теперь думаю - да, хорошо, но ведь не правильно это, так как, приходится мне по сути натить локальный трафик между своими роутерами... Как бы по другому нельзя выходит согласно схеме трафика ?
На роутере, на котором я "страдаю гемороем" установлен Dude-сервер, "следящий" за многими локальными и удаленными VPN-сетями. И работать ему приходится через разные WAN-каналы в зависимости от их доступности и некоторых других условий ... Геморой настоящий, думаю, может придется нормальную балансировку каналов на нём делать, но очень не охота, так как, "навернуто" на нём уже много чего и не ясно как это потом заставить работать.
А вообще всем спасибо большое. Отдельно Karas`b и Podarok66, конечно.
Последний раз редактировалось Sertik 16 мар 2020, 23:49, всего редактировалось 1 раз.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Вот тут интересную переписку нашел небезызвестного спеца "Chupaka" с другим комрадом ...
http://forum.ru-board.com/topic.cgi?for ... start=1100
Это насчет Routing Adjustment

Но до этого уровня мне как до Марса ...

Хотя, получается, что я ничего не зная, действуя методом проб и ошибок интуитивно использовал именно этот механизм, указав в правиле для мангл для исходящего трафика output меченный маршрут ...

т.е. механизм Routing Adjustment работает вроде как при подобных конструкциях, как я понял (ниже для примера):

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=output disabled=yes dst-address-list=vpn_net new-routing-mark="outroot" passthrough=no

/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1 interface=ether1 check-gateway=ping gateway-state=reachable distance=1 scope=30 target-scope=10 routing-mark="outroot"


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить