Mangle между 2-мя микротиками со своим интернетом.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Есть 2 микротика, у каждого свой интернет, соединены по локальной сети.

Задача с микротика 1 выпустить траффик до одного порта UDP конкретного белого IP через микротик 2. (например, 1.1.1.1:88)

У микротика 1 есть адрес в интернете 95.0.0.1, и адрес в сторону микротика2 - 192.168.2.1
У микротика 2 есть адрес в интернете 95.0.0.2 и адрес в сторону микротика 1 - 192.168.2.2

на первом микротике делаю правило мангла "output" для пакетов до нужного dst по udp c нужным портом, и с действием "mark routing" с именем rtab2

а IP.ROUTES создан дефолтный маршрут через микротик 2 (192.168.2.2) для таблицы rtab2

На микротике 2 дефолтный маршрут в его интернет-соединение, поднят нат.

На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую, а не через микротик 2.

ROS 7.2.2. на обоих микротиках.

Что я забыл настроить?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Erik_U писал(а): 07 май 2022, 10:26 На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую.
Цепочку на prerouting смените: output это только то, что с самого микротика уходит, даже не очень понятно, как второй микрот это соединение вообще видит.
Ну и проверить, чтобы нат случайно не работал на трафик между двумя микротиками.


Telegram: @thexvo
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

xvo писал(а): 08 май 2022, 08:58
Erik_U писал(а): 07 май 2022, 10:26 На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую.
Цепочку на prerouting смените: output это только то, что с самого микротика уходит, даже не очень понятно, как второй микрот это соединение вообще видит.
Ну и проверить, чтобы нат случайно не работал на трафик между двумя микротиками.
Не, нужен именно output. Нужные пакеты генерит сам микротик.
Вопрос легко решается, если на 1 микротике включить нат в сторону 2-го.
А как решить без ната не могу придумать.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Erik_U писал(а): 08 май 2022, 19:42 Не, нужен именно output. Нужные пакеты генерит сам микротик.
Тогда не очень понятно, почему он их с неправильного адреса генерирует.
По идее должен с адреса висящего на исходящем интерфейсе.

Но да, если так и если это что-то, чему нельзя в явном виде указать, с какого адреса, то принудительно srcnat на выходе в нужный адрес.


Telegram: @thexvo
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

xvo писал(а): 10 май 2022, 13:36 Тогда не очень понятно, почему он их с неправильного адреса генерирует.
Мне вот тоже это не понятно. Может кто знает?


Ответить