два WAN и маршрут для роутера

[Skylear]

Добрый день. Понимаю была тема viewtopic.php?f=1&t=11386
Но в моем случае не работает, или я чего то не понимаю. Пожалуйста не судите строго.
Имеем роутер из дефолтной конфы (именно так, со всеми правилами фаервола и т.д). Меняем конфу поэтапно.
Два интернета на первом и втором порту. Маскарадим через ван-лист. В локальной сети есть адреса Группы1 и Группы2.
Задача пустить группу1 на один интернет а группу2 на другой. Решаем просто: маркируем в мангле нужные адреса (из адрес-листа) и пускаем маркированный роутинг.
В таблице роутов имеем только два нулевых маркированный маршрута. И на компах все работает. Из группы1 ходит в инет через свой интерфейс, с группы2 - через свой.
А вот теперь проблема в том что на самом микротике инета то нет! Так как нет дефолтного нулевого маршрута без маркировки, а добавив его в таблицу - компы начинают терять инет, не прогружать сайты и вовсе терять инет. И как я не пытался маркировать сам микрот - в итоге ничего не получилось..((
Подскажите пожалуйста как пустить сам микрот в инет через к примеру провайдера первого порта?
А проблема номер два - это отмаркировать отдельные сайты (например vk.com) на хосте из группы2 и пустить их (сайты) через другой инет - тот что для группы1.

[Kostetyo]

Либо вы где-то, что-то не дописал, либо намудрили с каким-то из правил, может где-то passfrough не верный. Но мыслите вы правильно, нужны ещё 2 дефотлных маршрута для самого микрота.
А ещё, если у Вас ros7 то там вообще немного по другому, надо добавить 2 строки о таблицах маршрутизации.
Прочитайте тут, надеюсь не заругают за ссылку
https://habr.com/ru/post/463813/

[Kostetyo]

Для сайтов маркировка один в один такая же как и для компов, тоько создаёте для сайтов новый аксесс лист, туда имена (ip он сам потянет), и создаёте новые правила для маркированых пакетов, меняя местами src и dst (как для выхода компа с локальным ip подсети, через определённого провайдера, только с точностью наоборот src list - dst list)

[Skylear]

Ros 6.
с сайтами понятно как заворачивать.
Тут проблема что нет нулевого маршрута, есть только маршруты маркированные, а через них сам микротик не лезет в инет

[Kostetyo]

Почитайте по ссылке, там есть дефолтные маршруты, в двух словах, создайте их так, как будто небыло бы у вас маркировки и все будет работать

[Skylear]

если создаю нулевой дефолтный маршрут - то перестают корректно работать компы локальной сети, которые ходят в инет через маркированый роутинг. Это странно коненчо но так и есть( и с таким маршрутом конечно на микротике появляется интернет. Задача отмаркировать трафик микрота и завернуть его тоже через маркированный маршрут

[KaNelam]

Содаешь обычный дефроут, туда натишь 1ю группу. Туда поумолчанию пойдет траффик тика.
Для 2ой группы: в ip-route-rule создаешь дефроут для 2ой группы (надеюсь это 2 подсети, например 10.10.10.0/24 и 10.10.11.0/24) с таблицей и действием "lookup-only-in-table". Далее создаем nat правилодля таблицы что создали выше.

Для 10.10.11.0/24

Код: Выделить всё

/ip route rule
     add action=lookup-only-in-table dst-address=0.0.0.0/0 src-address=10.10.11.0/24 table=isp2
/ip firewall nat
     add action=masquerade chain=srcnat out-interface=provider2 routing-table=isp2 src-address=10.10.11.0/24

Таким образом в одном помещении сидят 2 конторы на 1 роутере и двумя провайдерами.