Микротик у меня настроен так: два PPoE-провайдера (INFOTECS,YTK) с балансировкой, два входа LAN (соединены в бридж).
Есть scrnat из двух локальных подсетей (192.168.0.0/24,192.168.1.0/24).
Есть dstnat для протокола ViPNet (направляет трафик снаружи на ViPNet-координатор 192.168.1.2).
ViPNet-трафик (шифрованный) ходит как в подсеть 192.168.1.0/24 (через 192.168.1.2), так и в подсеть 192.168.0.0/24
ViPNet-трафику нужно дать наивысший приоритет безусловно - как в любой группе пользователей, так с машин, не включённых ни в одну группу.
1.Будут ли в этих условиях правильно работать правила, описанные в статье?
2.Не мешает ли этим правилам балансировка?
3.Будут ли корректно работать правила при наличии dstnat?
4.Не помешает ли бридж из LAN-интерфейсов?
5.Как лучше изменить правила из статьи, чтобы безусловно дать ViPNet-трафику наивысший приоритет (ViPNet-трафик: protocol=udp, port=55777)? Внести его в CLASS-A и дать этому классу приоритет 1?
6.В одном из обсуждений статьи на вопрос "какой приоритет будут иметь адреса не попавшие в выше указанные группы (А, В ..)?" автор дал ответ "CLASS-C".
Непонятно - почему? Ведь CLASS-C имеет разные приоритеты в разных группах пользователей. Поэтому, неясно, куда в дереве попадёт пользователь вне группы?
Схема сети
Правила балансировки и NAT на Микротике:
Код: Выделить всё
######################################################
/ip firewall mangle
######################################################
add comment="Balancing" chain=prerouting action=mark-routing connection-mark=to-YTKc new-routing-mark=to-YTK passthrough=yes src-address=192.168.0.0/24 disabled=no
add comment="Balancing" chain=prerouting action=mark-routing connection-mark=to-INFOTECSc new-routing-mark=to-INFOTECS passthrough=yes src-address=192.168.0.0/24 disabled=no
add comment="Balancing" chain=prerouting action=mark-routing connection-mark=to-YTKc new-routing-mark=to-YTK passthrough=yes src-address=192.168.1.0/24 disabled=no
add comment="Balancing" chain=prerouting action=mark-routing connection-mark=to-INFOTECSc new-routing-mark=to-INFOTECS passthrough=yes src-address=192.168.1.0/24 disabled=no
add comment="Balancing" chain=forward action=mark-connection in-interface=YTK new-connection-mark=to-YTKc passthrough=yes disabled=no
add comment="Balancing" chain=forward action=mark-connection in-interface=INFOTECS new-connection-mark=to-INFOTECSc passthrough=yes disabled=no
######################################################
######################################################
/ip route
######################################################
add comment="Balancing" distance=1 dst-address=0.0.0.0/0 gateway=INFOTECS,YTK disabled=no
add comment="Balancing" distance=1 dst-address=0.0.0.0/0 gateway=YTK routing-mark=to-YTK disabled=no
add comment="Balancing" distance=1 dst-address=0.0.0.0/0 gateway=INFOTECS routing-mark=to-INFOTECS disabled=no
######################################################
######################################################
/ip firewall nat
######################################################
add comment="LAN" chain=srcnat action=masquerade src-address=192.168.0.0/24 disabled=no
add comment="LAN" chain=srcnat action=masquerade src-address=192.168.1.0/24 disabled=no
add comment="ViPNet" chain=dstnat action=dst-nat dst-address=<isp1_ip> dst-port=55777 protocol=udp to-addresses=192.168.1.2 to-ports=55777 disabled=no
add comment="ViPNet" chain=dstnat action=dst-nat dst-address=<isp2_ip> dst-port=55777 protocol=udp to-addresses=192.168.1.2 to-ports=55777 disabled=no
######################################################