Mangle 2 шлюза

Обсуждение ПО и его настройки
Ответить
Trusty
Сообщения: 7
Зарегистрирован: 22 фев 2019, 10:08

Добрый день.
Помогите, пожалуйста, с такой задачей:
Mikrotik (10.10.10.1), является шлюзом сети 10.10.10.0/24
В сети есть еще один шлюз 10.10.10.41, на котором поднят OVPN клиент. Через него осуществляется доступ к ресурсу 10.2.1.50.
Требуется завернуть трафик к 10.2.1.50 через 10.10.10.41 Mikrotikом 10.10.10.1
Что я сделал на 10.10.10.1:
ip firewall mangle add action=mark-routing chain=prerouting dst-address=10.2.1.50 \
new-routing-mark=gatedb_rt passthrough=no src-address-list=\
gatedb_client
ip route add distance=1 gateway=10.10.10.41 routing-mark=gatedb_rt
При таких настройках пакеты, вроде бы, пошли как и задумано. Но смущает trace 10.2.1.50 с клиентов. Они каждый раз разные:
10.10.10.1
10.10.10.41
10.2.1.50
Потом такой
10.10.10.41
10.10.10.41
10.2.1.50
И такой
10.10.10.41
10.90.0.1
10.2.1.50
И в какой-то момент 10.2.1.50 рвет сессии. Пинги при этом всегда идут без потерь.
Подскажите, пожалуйста, где я не донастроил?
И еще один момент 10.2.1.50 это локальная сетка моего провайдера, и он доступен пока без всяких настроек. Но в скором времени мне обещали закрыть это дело и доступ будет только через OVPN. Почему не использую OVPN клиент на Микротике, потому что эта компания использую ta.key и менять что-либо отказываются.
Вложения
Untitled Diagram.jpg
(74.89 КБ) 0 скачиваний
Последний раз редактировалось Trusty 22 фев 2019, 12:37, всего редактировалось 1 раз.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Trusty писал(а): 22 фев 2019, 10:50 Требуется завернуть трафик к 10.2.1.50 через 10.10.10.41 Mikrotikом 10.10.10.1
Если только это, то достаточно всего одного правила в маршрутизации на 10.10.10.1 о том что трафик на 10.2.1.50 идет через 10.10.10.41
Может у вас есть что-то за 10.2.1.50 ? 10.90.0.1 это что ?


Александр
Trusty
Сообщения: 7
Зарегистрирован: 22 фев 2019, 10:08

algerka писал(а): 22 фев 2019, 11:16
Trusty писал(а): 22 фев 2019, 10:50 Требуется завернуть трафик к 10.2.1.50 через 10.10.10.41 Mikrotikом 10.10.10.1
Если только это, то достаточно всего одного правила в маршрутизации на 10.10.10.1 о том что трафик на 10.2.1.50 идет через 10.10.10.41
Может у вас есть что-то за 10.2.1.50 ? 10.90.0.1 это что ?
10.90.0.1 это шлюз OVPN клиента поднятого на 10.10.10.41
За 10.2.1.50 ничего нет, это WWW с доступом к базам.
Маршрут так и прописан на 10.10.10.1 трафик на 10.2.1.50 идет через 10.10.10.41. В файерволе на 10.10.10.1 открываются коннекшны на 10.2.1.50. По идее их там не должно быть?
Если прописываю только маршрут на 10.10.10.1 о том что трафик на 10.2.1.50 идет через 10.10.10.41, у меня трафик начинает идти через WAN интерфейс 10.10.10.1
Правильный trace должен проходить 4 хопа?
10.10.10.1
10.10.10.41
10.90.0.1
10.2.1.50


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Trusty писал(а): 22 фев 2019, 11:30 10.90.0.1 это шлюз OVPN клиента поднятого на 10.10.10.41
тогда и для него маршрут надо прописывать
Ну и как-то странно, с ваших слов, для хоста 10.2.1.50 шлюзом является 10.90.0.1.
Trusty писал(а): 22 фев 2019, 11:30 Если прописываю только маршрут на 10.10.10.1 о том что трафик на 10.2.1.50 идет через 10.10.10.41, у меня трафик начинает идти через WAN интерфейс 10.10.10.1
Если 10.10.10.1 и 10.10.10.41 в одной сети, такого не может быть.
Укажите все адреса с масками, а лучше схему нарисуйте.


Александр
Trusty
Сообщения: 7
Зарегистрирован: 22 фев 2019, 10:08

Прикрепил схему к теме.

Изображение


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Уберите с 10.10.10.1 сеть 10.2.10./24, и настройте везде маршрутизацию


Александр
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

если Dhcp , то выдавайте роут на нужную сеть прямо в параметрах. 121я опция протокола и не грузите микротик, который может еще ругаться hext hup ответом,


Trusty
Сообщения: 7
Зарегистрирован: 22 фев 2019, 10:08

algerka писал(а): 22 фев 2019, 20:06 Уберите с 10.10.10.1 сеть 10.2.10./24, и настройте везде маршрутизацию
Сеть 10.2.1./24 это локальная сеть провайдера. Я не маршрутизирую ее.


Trusty
Сообщения: 7
Зарегистрирован: 22 фев 2019, 10:08

anad писал(а): 22 фев 2019, 22:30 если Dhcp , то выдавайте роут на нужную сеть прямо в параметрах. 121я опция протокола и не грузите микротик, который может еще ругаться hext hup ответом,
Спасибо Вам за подсказку, так и поступил.


Ответить