настройки mangle, проблема

Выкладываем здесь готовые конфигурации под определенные типовые задачи
ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

Доброго времени суток. У меня возникла следующая проблема, не могу настроить маршрутизацию таким образом, что бы пришедшие пакеты из внешней сети уходили бы ту да же. Проблема конкретно вот в чем: есть два гейтвэя 10.101.16.1, в который мкт смотрит ip-шником 10.101.16.1 c порта eth9. и второй 172.16.7.1, в который мкт смотрит Ip-шником 172.16.7.2 с порта eth7.
Задача: нужно, что бы все пакеты, пришедшие на eth9 уходили обратно тем же маршрутом, а все остальные уходили бы либо через eth7 либо через другие порты, на mkt крутиться OSPF и много хостов и маршрутов других, к которым траффик отправляется не через gateway. Ну то такое, мелочи.
В общем проблема, не могу добиться этого, стоит dst-nat, который при обращении на 10.101.16.100 по порту 3389 редиректит на 10.87.0.168 тот же порт, настроил логирование. и ответ от 10.87.0.168
Я уже много раз делал подобные настройки и все ок было, что сейчас не так? помогите пожалуйста, может я в 3х соснах заблудился?
Настройки mangle
1 chain=input action=mark-connection new-connection-mark=Corp-int passthrough=yes in-interface=ether9 log=no log-prefix=""

2 chain=output action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp-int log=no log-prefix=""

3 chain=forward action=mark-connection new-connection-mark=Corp-int passthrough=yes in-interface=ether9 log=no log-prefix=""

4 chain=prerouting action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp-int log=no log-prefix=""

В настройках в гейте на 10101.16.1 указана routing mark=Corp
Что я делаю не так?


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

у меня всегда работает такая типовая конструкция
/ip route 0.0.0.0/0 add gate="..." routing-mark="1"
/ip firewall mangle chain=prerouting action=mark-connection new-connection-mark=conn-1 in-interface=ether1
/ip firewall mangle chain=output action=mark-routing new-routing-mark=1 connection-mark=conn-1 и и и с passthrough - не мешает ли чего в firewall.


ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

нет, ничего вроде не мешает, запрещающих правил вообще нет, могу логи предоставить но не знаю помогут ли они тут. Проблема вроде ясна, но решить не могу, видимо не достаточно знаю о mangle.


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

В 1 правиле input на prerouting заменить


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

У меня так, и порядок правил в MANGLE имеет значение!

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input comment="Mark-conn input on ISP1_in" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_in passthrough=no
add action=mark-connection chain=forward comment="Mark-conn forward on ISP1_in to new-mark ISP1_for" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP1_for to route via iface of ISP1" connection-mark=ISP1_for new-routing-mark=ISP1_rout passthrough=no src-address-list=LocalNet
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP1_in to route via iface ISP1" connection-mark=ISP1_in new-routing-mark=ISP1_rout passthrough=no



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

Спасибо огромное, попробую, если что с логами отпишусь.


ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

нет, проблема не ушла, обращаюсь на ip 10.101.16.100 по порту 3389 стоит dst-nat при обращении на 10.101.16.100 редирект на ip 10.87.0.168, но не отрабатывает правило и вообще ничего не происходит и телнет дропает по таймауту
Изображение
Изображение
при отключении правил мангл то же самое, может дело не в мангл?
Может я где-то очевидно ошибки не вижу? взгляните подалуйста. вот правила НАТ
 
0 chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=udp dst-address=10.87.0.170 in-interface=!ether7 log=no log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=10.87.0.170 to-ports=5432 protocol=tcp dst-port=65432 log=no log-prefix=""

2 chain=dstnat action=dst-nat to-addresses=10.87.0.168 to-ports=5432 protocol=tcp dst-port=65438 log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=10.87.0.169 to-ports=5432 protocol=tcp dst-port=65439 log=no log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=tcp dst-address=10.101.16.100 dst-port=3389 log=yes log-prefix="xxxxxxxx"

5 chain=dstnat action=dst-nat to-addresses=10.87.0.170 to-ports=5433 protocol=tcp dst-port=65433 log=no log-prefix=""

6 chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=tcp in-interface=ether9 dst-port=23100-23200 log=no log-prefix=""

7 chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=tcp in-interface=ether9 dst-port=1555 log=no log-prefix=""

8 X chain=srcnat action=src-nat to-addresses=10.101.16.100 protocol=tcp src-address=10.87.0.168 src-port=3389 log=no log-prefix=""

9 X chain=dstnat action=dst-nat to-addresses=10.87.0.168 protocol=udp dst-port=23123 log=no log-prefix=""

10 X chain=dstnat action=dst-nat to-addresses=10.87.0.169 protocol=tcp dst-address=10.87.0.170 in-interface=ether7 dst-port=13125 log=no log-prefix=""

11 X chain=dstnat action=dst-nat to-addresses=10.87.0.130 to-ports=443 protocol=tcp in-interface=ether9 dst-port=1443 log=no log-prefix=""

12 X chain=dstnat action=dst-nat to-addresses=10.87.0.130 protocol=tcp in-interface=ether9 dst-port=5900 log=no log-prefix=""

13 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 protocol=tcp in-interface=ether7 dst-port=3398 log=no log-prefix=""

14 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 protocol=tcp dst-port=3389 log=no log-prefix=""

15 X chain=srcnat action=src-nat to-addresses=172.16.7.2 protocol=tcp dst-address=172.16.7.1 dst-port=20-21 log=no log-prefix=""

16 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 protocol=tcp dst-address=10.101.16.100 dst-port=20-21,500-1000 log=no log-prefix=""

17 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 to-ports=3389 protocol=tcp dst-address=10.101.16.100 dst-port=4000 log=no log-prefix=""

18 X chain=dstnat action=dst-nat to-addresses=10.87.0.168 to-ports=3389 protocol=tcp dst-address=172.16.44.1 dst-port=3390 log=no log-prefix=""

19 X chain=dstnat action=dst-nat to-addresses=10.87.0.170 to-ports=23100-23150 protocol=tcp src-address=10.101.33.20 dst-address=172.16.44.1 src-port=23100-23150,4022 log=no log-prefix=""

20 X chain=srcnat action=src-nat to-addresses=10.87.0.170 protocol=udp in-interface=ether7 out-bridge-port-list=!list1 dst-port=7777 log=yes log-prefix="src_udp_7777"
Вот обновил mangle
 
0 chain=input action=mark-connection new-connection-mark=Corp_conn_in passthrough=no in-interface=ether9 log=no log-prefix=""

1 chain=forward action=mark-connection new-connection-mark=Corp_forw passthrough=no in-interface=ether9 log=no log-prefix=""

2 chain=prerouting action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp_forw log=no log-prefix=""

3 chain=output action=mark-routing new-routing-mark=Corp passthrough=no connection-mark=Corp_conn_in log=no log-prefix=""


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) Покажите все Ваши сети с масками.
2) Не совсем понимаю, при чём тут Мангл (маркировка) и проброс запросов из одной сети в другую?
3) И смущает такая фраза Ваша:
ZeaZee писал(а): 23 мар 2020, 03:50 Задача: нужно, что бы все пакеты, пришедшие на eth9 уходили обратно тем же маршрутом
Значит надо описать что пришло, пометить что это пришло (про-маркировать нужной меткой) и
уже потом, это обратно туда же и отдать/вернуть (если того требует условие).
ZeaZee писал(а): 23 мар 2020, 03:50 а все остальные уходили бы либо через eth7 либо через другие порты,
А что всё остальное, мы приняли ВЕСЬ трафик на порту 9, пометили и вернули.
Вы хотите что-то другое судя по всему, а что - не понятно.

И ЕЩЁ: маршрутизация это работа с IP, а не портами (порт7, порт9), поэтому думаю может в этом
у Вас ошибка. Описывайте не только где куда принять/отправить, в таблице маршрутизации
Вы должны работать с IP, а не с портами там.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

Vlad-2 писал(а): 25 мар 2020, 14:30 А что всё остальное, мы приняли ВЕСЬ трафик на порту 9, пометили и вернули.
Вы хотите что-то другое судя по всему, а что - не понятно.

И ЕЩЁ: маршрутизация это работа с IP, а не портами (порт7, порт9), поэтому думаю может в этом
у Вас ошибка. Описывайте не только где куда принять/отправить, в таблице маршрутизации
Вы должны работать с IP, а не с портами там.
Благодарю, я знаю, что такое маршрутизация, про порты я сказал, в надежде на то, что читающий поймет, что дефолт гэйт-вэйев несколько, в чем cобственно и загвоздка, кроме дефолт гейт-вэйев есть еще маршруты из OSPF, таблица маршрутизации выглядит вот так:


Изображение
Кроме двух гейтов есть и другие маршруты, возможно логика микротикав маршрутизировании другая, но я выращен на старых учебниках Cisco, где написано: что сперва определяется маршрут с наиболее узкой маской для дестенэйшена, потом уже учитывается вес и тип маршрута. Поэтому оговрился, что есть и другие маршруты.
Но раз я пришел сюда просить помощи, то выложу, все что просите, сеть все равно приватная, и адреса меняются.
мои адреса:

\
 
0 ;;;
192.168.88.1/24 192.168.88.0 ether2
1 ;;;
10.101.16.100/24 10.101.16.0 ether9
2 ;;;
10.87.0.1/24 10.87.0.0 ether10
3 ;;; 10,101,72,254
10.10.10.10/24 10.10.10.0 sfp1
4 ;;;
172.16.44.1/30 172.16.44.0 eoip-Lamp.10.101.33.20
5 172.16.44.5/30 172.16.44.4 ether8
6 172.16.7.2/30 172.16.7.0 ether7 [/spoiler
На всякий обьясню так: IP 10.101.16.100 на интерфэйсе eth9 смотрит в большую сеть 10.101.16.0/24, где гейтом является фаэрвол cisco 10.101.16.1, Второй гейт, 172.16.7.1, в который смотрит IP 172.16.7.2/30 в другую, более большую сеть.
Задача: сделать так, что бы все пакеты, пришедшие на ip 10.101.16.10(eth9) уходили обратно на гейт 10.101.16.1 тем же маршрутом на eth9, я не профан, не новичек, до этого работал с Cisco почти всегда и Extreme. Но уговрил начальство заменить на микротик некоторые узлы, как более дешевый и качественный продукт, но столкнулся вот с такой проблемой.
Прошу помощи, ибо даже с большим стажем не вижу в этом ничего зазорного, и обещаю так же помогать новичкам)
p/S помогите поалуйста)


ZeaZee
Сообщения: 10
Зарегистрирован: 01 ноя 2019, 13:22
Откуда: Новосибирск

Ну на счет уговорил начальство я звезданул немного, это мне приказали найти дешёвую замену. Но в остальном все так.


Ответить