Не отрабатывает Routing Mark

Обсуждение ПО и его настройки
Ответить
Niblerjkee
Сообщения: 18
Зарегистрирован: 26 ноя 2018, 13:59

Два провайдера, задача пустить определенный трафик через второго. Решил начать с самого простого. Маркирую исходящий трафик, чтобы отправить со второго провайдера (ether2). В итоге пингую 77.88.8.8 траффик идет через первого.
XX.XX.XX.XX - первый провайдер
ZZ.ZZ.ZZ.ZZ - второй провайдер

/ip firewall mangle
add action=mark-routing chain=output dst-address=77.88.8.8 log=yes new-routing-mark=ISP222

/ip route
add comment=ISP2 distance=1 gateway=ZZ.ZZ.ZZ.zz routing-mark=ISP222

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.100.9 src-address=10.78.151.33 (нужно для ipsec)
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.78.251.0/24 (Маскарад для LAN через первого провайдера)
add action=masquerade chain=srcnat out-interface=ether2

Лог
in:(unknown 0) out:ether1, proto ICMP (type 8, code 0), XX.XX.XX.XX->77.88.8.8, NAT (XX.XX.XX.XX->ZZ.ZZ.ZZ.ZZ)->77.88.8.8, len 56


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если трафик не самого роутера, а "проходящий" то должно быть так

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=77.88.8.8 log=yes new-routing-mark=ISP222


Niblerjkee
Сообщения: 18
Зарегистрирован: 26 ноя 2018, 13:59

Отправляю пинги с роутера Количество пакетов напротив правила мангл меняется. Fasttrack отключил, затем перезагрузил роутер.
Откуда берется в логах вот это, понять не могу. NAT (XX.XX.XX.XX->ZZ.ZZ.ZZ.ZZ)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Пару вопросов:
1) надо отправлять трафик с самого роутера?
2) а Вы при тестировании (при подаче пингов) делали:
___а) выбирали нужную таблицу маршрутизации (если маркировка есть, значит есть и таблица) ?
___б) выбирали нужный исходящий адрес (условно говоря с какова адреса будет идти пинг)


В целом я бы посоветовал:

1) делать это не с роутера, а с компьютера (так и точнее и лучше и нагляднее и не будет путанности)
2) понять что Вы именно хотите (трафик с роутера загнать куда-то или всё же ряд компов загнать через второй канал?)
3) Всё же при маркировки правильно сначала то, что пришло на второй канал, промаркировать, и уже
этот трафик, условно помеченный, в будущем знать куда его при выходе отправлять.
В Вашем случаи я вижу(предполагаю), что Вы хотите сразу делать вторую часть, не сделав первую.
4) Если надо компьютеры выпускать через другой канал, то такой трафик надо отдельно маркировать, и
отдельной цепочкой (forward) в Mangle



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Niblerjkee
Сообщения: 18
Зарегистрирован: 26 ноя 2018, 13:59

Vlad-2, Спасибо за ответ!
Одна из целей - пустить ipsec тоннель через определенного провайдера. Поэтому в первую очередь я решил промаркировать весь исходящий трафик от роутера к определенному адресу.

Отвечаю на вопросы.
1) Да, с роутера
2) а- Я так понял таблица маршрутизации автоматом создается, когда настраиваю правило Mangle. Приложил рисунок.
б - Указал Src-adress при пинге.
На скрине постарался отобразить всю интересующую инфу.


Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Niblerjkee писал(а): 05 дек 2018, 15:27 Vlad-2, Спасибо за ответ!
Одна из целей - пустить ipsec тоннель через определенного провайдера. Поэтому в первую очередь я решил промаркировать весь исходящий трафик от роутера к определенному адресу.
Получилось?
(проверьте) Если зайти в файрволл, закладка Connections и там посмотреть столбец Connection Mark - там есть маркировки у нужных пакетов?
Niblerjkee писал(а): 05 дек 2018, 15:27 Отвечаю на вопросы.
б - Указал Src-adress при пинге.
Утилита ПИНГ и Трассерт = единственные утилиты, которые могут явно работать через нужные/заданные
таблицы маршрутизации, поэтому запустите пинг графический и там выберете именно
И нужную таблицу маршрутизации И нужный SRC адрес.
И потом ещё раз проверьте, есть ли маркировка в столбе Connection Mark у пакетов ICMP Ваших



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Niblerjkee
Сообщения: 18
Зарегистрирован: 26 ноя 2018, 13:59

Vlad-2 писал(а): 05 дек 2018, 18:26 Утилита ПИНГ и Трассерт = единственные утилиты, которые могут явно работать через нужные/заданные
таблицы маршрутизации, поэтому запустите пинг графический и там выберете именно
И нужную таблицу маршрутизации И нужный SRC адрес.
И потом ещё раз проверьте, есть ли маркировка в столбе Connection Mark у пакетов ICMP Ваших
Это все объясняет. Если ПИНГ-у явно указать, какую таблицу маршрутизации использовать, то пинг идет через нее.
Спасибо!


Ответить