балансировка и проброс портов

Обсуждение ПО и его настройки
Ответить
marco
Сообщения: 9
Зарегистрирован: 30 окт 2013, 00:52

Доброго всем времени суток..
Помогите решить мою проблему..
Есть тик, 2 аплинка и одна локалка.

Настроил балансировку (пробовал по разным советам, тут например)
но по данному способу сам тик у меня даже не пинговался снаружи и изнутри (хотя файловер работал). и винбоксом не зайти было снаружи.

сделал в итоге по ману ЕСМР с вики тика
делал и PCC методом.. результат один: балансировка - есть, failover - есть, проброс портов - не пашет.

там где стоит disable - часть конфига для РСС метода.

конфиг:
 /ip firewall mangle
add chain=prerouting disabled=yes dst-address=94.158.15.0/24 in-interface=bridge-local
add chain=prerouting disabled=yes dst-address=192.168.12.0/24 in-interface=bridge-local
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=yes in-interface=ether9-ptl new-connection-mark=cin_PTL
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=yes in-interface=ether10-yarnet new-connection-mark=cin_YARNET
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=yes dst-address-type=!local in-interface=bridge-local new-connection-mark=lan_out_PTL \
per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=yes dst-address-type=!local in-interface=bridge-local new-connection-mark=lan_out_YARNET \
per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=prerouting connection-mark=cin_PTL disabled=yes in-interface=bridge-local new-routing-mark=rout_PTL
add action=mark-routing chain=prerouting connection-mark=cin_YARNET disabled=yes in-interface=bridge-local new-routing-mark=rout_YARNET
add action=mark-routing chain=output connection-mark=cin_PTL disabled=yes new-routing-mark=rout_PTL
add action=mark-routing chain=output connection-mark=cin_YARNET disabled=yes new-routing-mark=rout_YARNET

add action=mark-connection chain=input in-interface=ether9-ptl new-connection-mark=cin_PTL
add action=mark-connection chain=input in-interface=ether10-yarnet new-connection-mark=cin_YARNET
add action=mark-routing chain=output connection-mark=cin_PTL new-routing-mark=rout_PTL
add action=mark-routing chain=output connection-mark=cin_YARNET new-routing-mark=rout_YARNET


 /ip firewall nat
/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/24
add action=dst-nat chain=dstnat dst-port=80 in-interface=ether9-ptl protocol=udp to-addresses=10.0.0.12 to-ports=80


 /ip route
add distance=1 gateway=94.158.15.1 routing-mark=rout_PTL
add distance=1 gateway=192.168.12.1 routing-mark=rout_YARNET
add check-gateway=ping distance=1 gateway=94.158.15.1,94.158.15.1,192.168.12.1
add check-gateway=ping disabled=yes distance=1 gateway=94.158.15.1 routing-mark=rout_PTL
add check-gateway=ping disabled=yes distance=1 gateway=192.168.12.1 routing-mark=rout_YARNET
add check-gateway=ping disabled=yes distance=1 gateway=192.168.12.1
add check-gateway=ping disabled=yes distance=1 gateway=94.158.15.1


 /ip firewall filter
add chain=input protocol=icmp
add chain=input connection-state=established,related
add chain=input dst-port=8080 protocol=tcp
add chain=input dst-port=8291 protocol=tcp
add chain=input dst-port=80 protocol=tcp
add chain=forward connection-state=established,related
add action=drop chain=input in-interface=ether9-ptl
add action=drop chain=input in-interface=ether10-yarnet
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether9-ptl
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether10-yarnet


нашел еще странный мангл в конфиге про РСС

Код: Выделить всё

/ ip firewall mangle
add chain=prerouting dst-address=10.111.0.0/24  action=accept in-interface=LAN
add chain=prerouting dst-address=10.112.0.0/24  action=accept in-interface=LAN

кто знает, зачем он там?
убирал - функционал балансиовки/файловера не теряется..


divitissimus
Сообщения: 4
Зарегистрирован: 15 дек 2014, 10:26

В Блоке мангл не хватает двух правил, которые отвечают за корректный ответ из локалки в интернет. Точный синтаксис не вспомню сейчас, но что то типа:
 как-то так
add action=mark-routing chain=prerouting connection-mark={your wan2 conn mark} new-routing-mark={route to wan2} src-address=LAN


Ответить