настройки mangle, проблема

Выкладываем здесь готовые конфигурации под определенные типовые задачи
ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

23 мар 2020, 03:50

Доброго времени суток. У меня возникла следующая проблема, не могу настроить маршрутизацию таким образом, что бы пришедшие пакеты из внешней сети уходили бы ту да же. Проблема конкретно вот в чем: есть два гейтвэя 10.101.16.1, в который мкт смотрит ip-шником 10.101.16.1 c порта eth9. и второй 172.16.7.1, в который мкт смотрит Ip-шником 172.16.7.2 с порта eth7.
Задача: нужно, что бы все пакеты, пришедшие на eth9 уходили обратно тем же маршрутом, а все остальные уходили бы либо через eth7 либо через другие порты, на mkt крутиться OSPF и много хостов и маршрутов других, к которым траффик отправляется не через gateway. Ну то такое, мелочи.
В общем проблема, не могу добиться этого, стоит dst-nat, который при обращении на 10.101.16.100 по порту 3389 редиректит на 10.87.0.168 тот же порт, настроил логирование. и ответ от 10.87.0.168
Я уже много раз делал подобные настройки и все ок было, что сейчас не так? помогите пожалуйста, может я в 3х соснах заблудился?
Настройки mangle
1 chain=input action=mark-connection new-connection-mark=Corp-int passthrough=yes in-interface=ether9 log=no log-prefix=""

2 chain=output action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp-int log=no log-prefix=""

3 chain=forward action=mark-connection new-connection-mark=Corp-int passthrough=yes in-interface=ether9 log=no log-prefix=""

4 chain=prerouting action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp-int log=no log-prefix=""

В настройках в гейте на 10101.16.1 указана routing mark=Corp
Что я делаю не так?


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

23 мар 2020, 10:36

у меня всегда работает такая типовая конструкция
/ip route 0.0.0.0/0 add gate="..." routing-mark="1"
/ip firewall mangle chain=prerouting action=mark-connection new-connection-mark=conn-1 in-interface=ether1
/ip firewall mangle chain=output action=mark-routing new-routing-mark=1 connection-mark=conn-1 и и и с passthrough - не мешает ли чего в firewall.


ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

23 мар 2020, 10:43

нет, ничего вроде не мешает, запрещающих правил вообще нет, могу логи предоставить но не знаю помогут ли они тут. Проблема вроде ясна, но решить не могу, видимо не достаточно знаю о mangle.


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

23 мар 2020, 12:42

В 1 правиле input на prerouting заменить


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

23 мар 2020, 16:57

У меня так, и порядок правил в MANGLE имеет значение!

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input comment="Mark-conn input on ISP1_in" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_in passthrough=no
add action=mark-connection chain=forward comment="Mark-conn forward on ISP1_in to new-mark ISP1_for" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP1_for to route via iface of ISP1" connection-mark=ISP1_for new-routing-mark=ISP1_rout passthrough=no src-address-list=LocalNet
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP1_in to route via iface ISP1" connection-mark=ISP1_in new-routing-mark=ISP1_rout passthrough=no



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

24 мар 2020, 09:38

Спасибо огромное, попробую, если что с логами отпишусь.


ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

25 мар 2020, 13:05

нет, проблема не ушла, обращаюсь на ip 10.101.16.100 по порту 3389 стоит dst-nat при обращении на 10.101.16.100 редирект на ip 10.87.0.168, но не отрабатывает правило и вообще ничего не происходит и телнет дропает по таймауту
Изображение
Изображение
при отключении правил мангл то же самое, может дело не в мангл?
Может я где-то очевидно ошибки не вижу? взгляните подалуйста. вот правила НАТ
 
0 chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=udp dst-address=10.87.0.170 in-interface=!ether7 log=no log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=10.87.0.170 to-ports=5432 protocol=tcp dst-port=65432 log=no log-prefix=""

2 chain=dstnat action=dst-nat to-addresses=10.87.0.168 to-ports=5432 protocol=tcp dst-port=65438 log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=10.87.0.169 to-ports=5432 protocol=tcp dst-port=65439 log=no log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=tcp dst-address=10.101.16.100 dst-port=3389 log=yes log-prefix="xxxxxxxx"

5 chain=dstnat action=dst-nat to-addresses=10.87.0.170 to-ports=5433 protocol=tcp dst-port=65433 log=no log-prefix=""

6 chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=tcp in-interface=ether9 dst-port=23100-23200 log=no log-prefix=""

7 chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=tcp in-interface=ether9 dst-port=1555 log=no log-prefix=""

8 X chain=srcnat action=src-nat to-addresses=10.101.16.100 protocol=tcp src-address=10.87.0.168 src-port=3389 log=no log-prefix=""

9 X chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=udp dst-port=23123 log=no log-prefix=""

10 X chain=dstnat action=dst-nat to-addresses=10.87.0.169 protocol=tcp dst-address=10.87.0.170 in-interface=ether7 dst-port=13125 log=no log-prefix=""

11 X chain=dstnat action=dst-nat to-addresses=10.87.0.130 to-ports=443 protocol=tcp in-interface=ether9 dst-port=1443 log=no log-prefix=""

12 X chain=dstnat action=dst-nat to-addresses=10.87.0.130 protocol=tcp in-interface=ether9 dst-port=5900 log=no log-prefix=""

13 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 protocol=tcp in-interface=ether7 dst-port=3398 log=no log-prefix=""

14 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 protocol=tcp dst-port=3389 log=no log-prefix=""

15 X chain=srcnat action=src-nat to-addresses=172.16.7.2 protocol=tcp dst-address=172.16.7.1 dst-port=20-21 log=no log-prefix=""

16 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 protocol=tcp dst-address=10.101.16.100 dst-port=20-21,500-1000 log=no log-prefix=""

17 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 to-ports=3389 protocol=tcp dst-address=10.101.16.100 dst-port=4000 log=no log-prefix=""

18 X chain=dstnat action=dst-nat to-addresses=10.87.0.168 to-ports=3389 protocol=tcp dst-address=172.16.44.1 dst-port=3390 log=no log-prefix=""

19 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 to-ports=23100-23150 protocol=tcp src-address=10.101.33.20 dst-address=172.16.44.1 src-port=23100-23150,4022 log=no log-prefix=""

20 X chain=srcnat action=src-nat to-addresses=10.87.0.170 protocol=udp in-interface=ether7 out-bridge-port-list=!list1 dst-port=7777 log=yes log-prefix="src_udp_7777"
Вот обновил mangle
 
0 chain=input action=mark-connection new-connection-mark=Corp_conn_in passthrough=no in-interface=ether9 log=no log-prefix=""

1 chain=forward action=mark-connection new-connection-mark=Corp_forw passthrough=no in-interface=ether9 log=no log-prefix=""

2 chain=prerouting action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp_forw log=no log-prefix=""

3 chain=output action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp_conn_in log=no log-prefix=""


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

25 мар 2020, 14:30

1) Покажите все Ваши сети с масками.
2) Не совсем понимаю, при чём тут Мангл (маркировка) и проброс запросов из одной сети в другую?
3) И смущает такая фраза Ваша:
ZeaZee писал(а):
23 мар 2020, 03:50
Задача: нужно, что бы все пакеты, пришедшие на eth9 уходили обратно тем же маршрутом
Значит надо описать что пришло, пометить что это пришло (про-маркировать нужной меткой) и
уже потом, это обратно туда же и отдать/вернуть (если того требует условие).
ZeaZee писал(а):
23 мар 2020, 03:50
а все остальные уходили бы либо через eth7 либо через другие порты,
А что всё остальное, мы приняли ВЕСЬ трафик на порту 9, пометили и вернули.
Вы хотите что-то другое судя по всему, а что - не понятно.

И ЕЩЁ: маршрутизация это работа с IP, а не портами (порт7, порт9), поэтому думаю может в этом
у Вас ошибка. Описывайте не только где куда принять/отправить, в таблице маршрутизации
Вы должны работать с IP, а не с портами там.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

26 мар 2020, 07:12

Vlad-2 писал(а):
25 мар 2020, 14:30
А что всё остальное, мы приняли ВЕСЬ трафик на порту 9, пометили и вернули.
Вы хотите что-то другое судя по всему, а что - не понятно.

И ЕЩЁ: маршрутизация это работа с IP, а не портами (порт7, порт9), поэтому думаю может в этом
у Вас ошибка. Описывайте не только где куда принять/отправить, в таблице маршрутизации
Вы должны работать с IP, а не с портами там.
Благодарю, я знаю, что такое маршрутизация, про порты я сказал, в надежде на то, что читающий поймет, что дефолт гэйт-вэйев несколько, в чем cобственно и загвоздка, кроме дефолт гейт-вэйев есть еще маршруты из OSPF, таблица маршрутизации выглядит вот так:


Изображение
Кроме двух гейтов есть и другие маршруты, возможно логика микротикав маршрутизировании другая, но я выращен на старых учебниках Cisco, где написано: что сперва определяется маршрут с наиболее узкой маской для дестенэйшена, потом уже учитывается вес и тип маршрута. Поэтому оговрился, что есть и другие маршруты.
Но раз я пришел сюда просить помощи, то выложу, все что просите, сеть все равно приватная, и адреса меняются.
мои адреса:

\
 
0 ;;;
192.168.88.1/24 192.168.88.0 ether2
1 ;;;
10.101.16.100/24 10.101.16.0 ether9
2 ;;;
10.87.0.1/24 10.87.0.0 ether10
3 ;;; 10,101,72,254
10.10.10.10/24 10.10.10.0 sfp1
4 ;;;
172.16.44.1/30 172.16.44.0 eoip-Lamp.10.101.33.20
5 172.16.44.5/30 172.16.44.4 ether8
6 172.16.7.2/30 172.16.7.0 ether7 [/spoiler
На всякий обьясню так: IP 10.101.16.100 на интерфэйсе eth9 смотрит в большую сеть 10.101.16.0/24, где гейтом является фаэрвол cisco 10.101.16.1, Второй гейт, 172.16.7.1, в который смотрит IP 172.16.7.2/30 в другую, более большую сеть.
Задача: сделать так, что бы все пакеты, пришедшие на ip 10.101.16.10(eth9) уходили обратно на гейт 10.101.16.1 тем же маршрутом на eth9, я не профан, не новичек, до этого работал с Cisco почти всегда и Extreme. Но уговрил начальство заменить на микротик некоторые узлы, как более дешевый и качественный продукт, но столкнулся вот с такой проблемой.
Прошу помощи, ибо даже с большим стажем не вижу в этом ничего зазорного, и обещаю так же помогать новичкам)
p/S помогите поалуйста)


ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

26 мар 2020, 07:22

Ну на счет уговорил начальство я звезданул немного, это мне приказали найти дешёвую замену. Но в остальном все так.


Ответить