Re: Сложная маршрутизация на Mikrotik
Добавлено: 13 ноя 2011, 10:30
тогда наличие пакета на не его интерфейсе = проблема настроек
Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/
Код: Выделить всё
ether1 192.168.1.2/30 | dst-address=0.0.0.0/0 gateway=192.168.1.1 gateway-status=192.168.1.1 reachable ether1 distance=0
Код: Выделить всё
ether6 192.168.1.1/30 | dst-address=192.168.2.0/24 gateway=192.168.1.2 gateway-status=192.168.1.2 reachable ether6 distance=0
ether8 10.0.0.1/30 (Прокся 10.0.0.2/30)
ether9 10.1.1.1/30 (Прокся 10.1.1.2/30)
ether10 10.0.3.107/24 (Сеть провайдера, получается по DHCP) | dst-address=0.0.0.0/0 gateway=10.0.3.1 gateway-status=10.0.3.1 reachable ether10 distance=0
Код: Выделить всё
/ip firewall mangle add chain=prerouting dst-address-list=!local action=mark-routing new-routing-mark=route_to_proxy
/ip route add dst-address=0.0.0.0/0 gateway=10.0.0.2 routing-mark=route_to_proxy
/ip firewall address-list add address=10.0.0.0/8 list=local
/ip firewall address-list add address=192.168.0.0/16 list=local
/ip firewall address-list add address=172.16.0.0/12 list=local
Код: Выделить всё
route add default 10.1.1.1
route add net 10.0.0.0/8 10.0.0.1
route add net 172.16.0.0/12 10.0.0.1
route add net 192.168.0.0/16 10.0.0.1
Код: Выделить всё
chain=srcnat action=masquerade dst-address-list=!local out-interface=ether10
1st - mark routing that goes from client interfaces and route it to captive portal, that you are already doing, but your captive protal is not doing NAT, so as result, packets are sent back to captive portal till TLL=0. To avoid that, set up packet marks so that they are marking packets using destination address and incoming interface and send all these packets to your captive portal. Now packets from your captive portal router with same source address as before and are sent back. Addition of in-interface will avoid that. And then just NAT on external interface.
2nd - use bridge, so packets from users use captive portal as gateway.
iSupport писал(а):а любой пакет с прокси надо натить в интернет?
Нельзя ли добавить правило, нат с ин интерфейса *после прокси*, без адресов,то есть все что пришло с прокси натить
и поставить его в файрволле выше чем правило *заворот локалки на прокси*
Код: Выделить всё
и поставить его в файрволле выше чем правило *заворот локалки на прокси*
iSupport писал(а):попробуйте сделайте нат на srcnat, там есть ин-интерфейс