Правила в firewall стандартные, брал с мануала в интернете:
Код: Выделить всё
0 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid
1 ;;; Allow established connections
chain=input action=accept connection-state=established
2 ;;; Allow ICMP
chain=input action=accept protocol=icmp
3 ;;; Allow access from local network
chain=input action=accept src-address=192.168.1.0/24 in-interface=bridge-local
6 ;;; Drop everything else
chain=input action=drop
7 ;;; Drop invalid connections
chain=forward action=drop connection-state=invalid
8 ;;; Allow established connections
chain=forward action=accept connection-state=established
9 ;;; Allow related connections
chain=forward action=accept connection-state=related
10 chain=forward action=drop src-address=0.0.0.0/8
11 chain=forward action=drop dst-address=0.0.0.0/8
12 chain=forward action=drop src-address=127.0.0.0/8
13 chain=forward action=drop dst-address=127.0.0.0/8
14 chain=forward action=drop src-address=224.0.0.0/3
15 chain=forward action=drop dst-address=224.0.0.0/3
16 chain=forward action=jump jump-target=tcp protocol=tcp
17 chain=forward action=jump jump-target=udp protocol=udp
18 chain=forward action=jump jump-target=icmp protocol=icmp
19 ;;; Deny TFTP
chain=tcp action=drop protocol=tcp dst-port=69
20 ;;; Deny RPC portmapper
chain=tcp action=drop protocol=tcp dst-port=111
21 ;;; Deny RPC portmapper
chain=tcp action=drop protocol=tcp dst-port=135
22 ;;; Deny NBT
chain=tcp action=drop protocol=tcp dst-port=137-139
23 ;;; Deny CIFS
chain=tcp action=drop protocol=tcp dst-port=445
24 ;;; Deny NFS
chain=tcp action=drop protocol=tcp dst-port=2049
25 ;;; Deny NetBus
chain=tcp action=drop protocol=tcp dst-port=12345-12346
26 ;;; Deny NetBus
chain=tcp action=drop protocol=tcp dst-port=20034
27 ;;; Deny BackOriffice
chain=tcp action=drop protocol=tcp dst-port=3133
28 ;;; Deny DHCP
chain=tcp action=drop protocol=tcp dst-port=67-68
29 ;;; Deny TFTP
chain=udp action=drop protocol=udp dst-port=69
30 ;;; Deny PRC portmapper
chain=udp action=drop protocol=udp dst-port=111
31 ;;; Deny PRC portmapper
chain=udp action=drop protocol=udp dst-port=135
32 ;;; Deny NBT
chain=udp action=drop protocol=udp dst-port=137-139
33 ;;; Deny NFS
chain=udp action=drop protocol=udp dst-port=2049
34 ;;; Deny BackOriffice
chain=udp action=drop protocol=udp dst-port=3133
35 ;;; Echo reply
chain=icmp action=accept protocol=icmp icmp-options=0:0
36 ;;; Net unreachable
chain=icmp action=accept protocol=icmp icmp-options=3:0
37 ;;; Host unreachable
chain=icmp action=accept protocol=icmp icmp-options=3:1
38 ;;; Host unreachable fragmentation required
chain=icmp action=accept protocol=icmp icmp-options=3:4
39 ;;; Allow source quench
chain=icmp action=accept protocol=icmp icmp-options=4:0
40 ;;; Allow echo request
chain=icmp action=accept protocol=icmp icmp-options=8:0
41 ;;; Allow time exceed
chain=icmp action=accept protocol=icmp icmp-options=11:0
42 ;;; Allow parameter bad
chain=icmp action=accept protocol=icmp icmp-options=12:0
43 ;;; Deny all other types
chain=icmp action=drop
На Mikrotik поднят VPN-сервер и для удаленных клиентов прописаны правила:
Код: Выделить всё
4 ;;; Allow PPTP
chain=input action=accept protocol=tcp dst-address=192.168.1.11 in-interface=pppoe-bicnet dst-port=1723
5 ;;; Allow GRE
chain=input action=accept protocol=gre dst-address=192.168.1.11 in-interface=pppoe-bicnet
В NAT разрешен доступ в интернет локальным клиентам и доступ к сети удаленные клиентам, также открыты порты на VPN-сервер:
Код: Выделить всё
0 ;;; Allow internet for ip-1
chain=srcnat action=masquerade src-address-list=ip-1 out-interface=pppoe-bicnet
1 ;;; Allow local network for vpn-1
chain=srcnat action=masquerade src-address-list=vpn-1 out-interface=bridge-local
2 ;;; Allow PPTP
chain=dstnat action=dst-nat to-addresses=192.168.1.11 to-ports=1723 protocol=tcp src-address-list=legal-ip in-interface=pppoe-bicnet dst-port=1723
3 ;;; Allow GRE
chain=dstnat action=dst-nat to-addresses=192.168.1.11 protocol=gre src-address-list=legal-ip in-interface=pppoe-bicnet
В таблице маршрутов тоже все в порядке:
Код: Выделить всё
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 pppoe-bicnet 1
1 ADC 188.191.168.37/32 178.132.0.178 pppoe-bicnet 0
2 ADC 192.168.1.0/24 192.168.1.11 bridge-local 0
В такой конфигурации работает все нормально, но появилась необходимость подключения второго провайдера. Для этого я вначале промаркировал пакеты для первого провайдера:
Код: Выделить всё
0 chain=prerouting action=mark-routing new-routing-mark=to-bicnet passthrough=yes src-address-list=ip-1
1 chain=prerouting action=mark-routing new-routing-mark=to-bicnet passthrough=yes src-address-list=vpn-1
Код: Выделить всё
0 A S dst-address=0.0.0.0/0 gateway=pppoe-bicnet gateway-status=pppoe-bicnet reachable distance=1 scope=30 target-scope=10 routing-mark=to-bicnet
У меня сразу отваливаются удаленные клиенты и с Mikrotik не пингуется интернет, локальные клиенты интернет видят. Как мне правильно промаркировать пакеты, чтобы все работало?