Multiwan снаружи вовнутрь на Mikrotik mikrotik hex rb750gr3 не работает нормально.

Обсуждение ПО и его настройки
Ответить
seal242
Сообщения: 2
Зарегистрирован: 23 окт 2020, 13:27

Нужно было чтобы снаружи был доступен Mikrotik( как VPN) и сервера в локалке тоже.
Настраивал сначала как
https://mum.mikrotik.com/presentations/ ... 717194.pdf
потом как
https://mum.mikrotik.com/presentations/ ... 517470.pdf
Результат одинаков.

Результат:
На главном интерфейсе eth1 все ок.
Но на втором eth2 плохо.
Микротик сам доступен, VPN работает норм.
Но forward , то есть доступ к серверам внутри сети не работает нормально.
Работает с очень маленькой скоростью, то есть теоретически работает, но скорость на уровне 100бит в секунду.

При этом ранее вешал провайдера eth2 на eth1 -все работало без проблем.
Вангую ,что что-то неправильно настроил и пакеты в основном улетают не туда.
Но не могу раскопать где что неправильно. Все делал как в презентации.





eth1
cloudflare
31.134.177.3
31.134.177.3/27
31.134.177.0/27
31.134.177.1


eth2
внешний IP
194.39.101.142
194.39.101.0/24
IP выдаваемый роутеру провайдером
10.35.24.19/24
10.35.24.0/24
10.35.24.1
255.255.255.0
/*********************************prerouting********************************************/
/ip firewall mangle
add chain=prerouting dst-address=31.134.177.0/27 in-interface=ether1 \
connection-state=new action=mark-connection \
new-connection-mark=Prerouting/GW/31.134.177.1 passthrough=no
-------------------------------------------------------------------------------
add chain=prerouting dst-address=10.35.24.0/24 in-interface=ether2 \
connection-state=new action=mark-connection \
new-connection-mark=Prerouting/GW/10.35.24.1 passthrough=no
/*****************************************************************************/
/ip firewall mangle
add chain=output connection-mark=Prerouting/GW/31.134.177.1 \
action=mark-routing new-routing-mark=Next-Hop/31.134.177.1 \
passthrough=no
-------------------------------------------------------------------------------
add chain=output connection-mark=Prerouting/GW/10.35.24.1 \
action=mark-routing new-routing-mark=Next-Hop/10.35.24.1 \
passthrough=no
/*****************************************************************************/
/ip route
add gateway=31.134.177.1 routing-mark=Next-Hop/31.134.177.1
-------------------------------------------------------------------------------
add gateway=10.35.24.1 routing-mark=Next-Hop/10.35.24.1
/*****************************************************************************/
/ip route rule
add action=lookup-only-in-table routing-mark=Next-Hop/31.134.177.1 \
table=Next-Hop/31.134.177.1
-------------------------------------------------------------------------------
add action=lookup-only-in-table routing-mark=Next-Hop/10.35.24.1 \
table=Next-Hop/10.35.24.1
/*****************************************************************************/
/ip firewall mangle
add chain=output src-address=31.134.177.0/27 dst-address-list=!BOGON \
action=mark-routing new-routing-mark=Next-Hop/31.134.177.1 \
passthrough=no
-------------------------------------------------------------------------------
add chain=output src-address=10.35.24.0/24 dst-address-list=!BOGON \
action=mark-routing new-routing-mark=Next-Hop/10.35.24.1 \
passthrough=no
/*****************************************************************************/
/interface bridge
add name=Br-Loopback
-------------------------------------------------------------------------------
/ip route
add gateway=Br-Loopback distance=254 pref-src=31.134.177.3
/*****************************************************************************/
/ip firewall nat
add chain=dstnat dst-address=31.134.177.3 protocol=tcp \
dst-port=80,25,443 in-interface=ether1 action=dst-nat \
to-addresses=192.168.2.2
-------------------------------------------------------------------------------
add chain=dstnat dst-address=194.39.101.142 protocol=tcp \
dst-port=80,25,443 in-interface=ether2 action=dst-nat \
to-addresses=192.168.2.2
/*****************************************************************************/
/ip firewall mangle
add chain=prerouting in-interface=!ether1 \
connection-mark=Prerouting/GW/31.134.177.1 action=mark-routing \
new-routing-mark=Next-Hop/31.134.177.1 passthrough=no
-------------------------------------------------------------------------------
add chain=prerouting in-interface=!ether2 \
connection-mark=Prerouting/GW/10.35.24.1 action=mark-routing \
new-routing-mark=Next-Hop/10.35.24.1 passthrough=no
/*****************************************************************************/


Alexey.Martynov
Сообщения: 2
Зарегистрирован: 24 окт 2020, 23:53

А fasttrack connection в файрволе отключён? Для себя определил такое правило, при сложных конфигурациях, если что-то начинает идти не так как надо отключать фасттрек.


seal242
Сообщения: 2
Зарегистрирован: 23 окт 2020, 13:27

Проблему решил сам.
В первый оутпут уходит прероутинг,
надо в первом оутпуте поставить output list interface WAN


Ответить