Проброс портов через два WAN (два провайдера) как?

[TDA]

Микротик настроен на работу с двумя провайдерами.
Первый и второй порт настроены как wan, один провайдер основной, второй запасной.

У второго убрана галочка:
"add-default-route=yes"

и прописано:

Код: Выделить всё

/ip route add dst-address=0.0.0.0/0 gateway="второй пров" distance=2 check-gateway=ping

Задача обеспечить доступ к внутренним ресурсам извне, через оба провайдера.

Сделал проброс портов по этому мануалу:

http://habrahabr.ru/post/182166/

Для первого провайдера всё заработало, а вот с вторым никак.
Логически понимаю, что видимо простой проброс тут не поможет, т.к. пакет приходя через интерфейс 2 назад улетает черех интерфейс 1 т.к. именно у него в данный момент есть "шлюз по умолчанию".
Поиск в интернете выдал кучу мануалов настройки на всяких Линуксах.
А вот как это провернуть на Микротике?

[vqd]

Проброс ровно такой же как и при работе с одним провайдером и с 10-ю
Причину вы сами назвали, так вот ее и устраните.
Вам ни кто не мешает маркировать соединения на входе и потом их же отправлять назад через того же оператора через который они пришли

[TDA]

Вот про эту "маркировку соединений" и хотелось бы узнать подробнее, желательно с примерами.

[vqd]

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle

[TDA]

Тут вроде раздел для начинающих :)
Мануал может и подробно описывает функции каждой опции.
Но как из них сложить готовый вариант - может у кого есть удачный пример?

[podarok66]

Готовый вариант Вам врядли тут будут писать. Если бы кто-то пользовался подобной схемой и поделился, я бы сказал, что Вам повезло. А так вариантов ровно три:
1. Ждем, а вдруг кто сжалится
2. Сидим, грызем мануал до полного просветления и потом настраиваем уже спокойно сами, посматриваю на наводящие подсказки vqd
3. Заказываем платную настройку

[TDA]

Нашёл вроде как готовое решение:
viewtopic.php?f=1&t=3214

В очередной раз плотненько пройдясь по руководству iptables сам же и отвечаю.
Данная задача решается двумя правилами. Сначала подменяем адрес получателя:

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.10.1 to-ports=80 protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=80

Затем пакет пройдя по цепочке Forward попадает в цепочку Postrouting, где мы меняем ему адрес источника (на адрес внутреннего интерфейса Mikrotik):

Код: Выделить всё

chain=srcnat action=src-nat to-addresses=192.168.10.2 protocol=tcp dst-address=192.168.10.1 dst-port=80

В данном случае, dst-address и dst-port служат лишь приметами, по которым вычисляются пакеты, в которых необходимо заменить адрес источника. Я сначала сомневался, будет ли это работать, хотел помечать в первом правиле с помощью mangle... Но потом решил попробовать.
Работает!

К слову сказать, так же двумя правилами и командой mapping можно было опубликовать в интернет весь хост. Но мне то нужен был лишь один порт.

Вот в этом примере не указано какие ip (а их три: 192.168.10.1 192.168.10.2 и xxx.xxx.xxx.xxx) адреса принадлежат Микротику, удалённому компу и где в этих правилах собсно интерфейс второго провайдера?

[vqd]

мда

Код: Выделить всё

/ip route
add distance=1 gateway=62.xxx.xxx.xxx routing-mark=wan2
add distance=1 gateway=10.yyy.yyy.yyy routing-mark=wan1

/ip firewall mangle
add action=mark-connection chain=forward in-interface=ether1-wan1 new-connection-mark=in_wan1_for
add action=mark-routing chain=prerouting connection-mark=in_wan1_for new-routing-mark=wan1 src-address=172.100.0.0/24
add action=mark-connection chain=forward in-interface=ether2-wan2 new-connection-mark=in_wan2_for
add action=mark-routing chain=prerouting connection-mark=in_wan2_for new-routing-mark=wan2 src-address=172.100.0.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-wan1
add action=masquerade chain=srcnat out-interface=ether2-wan2

[TDA]

Спасибо большое!
Пришлось немного подумать, как под свои настройки переделать.
Но в итоге всё заработало.

[TDA]

Остался последний вопрос - как получить доступ к самому Микротику с второго интерфейса?
Порт открыт, но подключится получается только с первого.
И даже идей нет - где тут то затык?