Не приходит ACK от sip провайдера

[xvo]

Код: Выделить всё

/ip firewall mangle
add chain=output src-address=X.X.X.0/24 action=mark-routing new-routing-mark=GW-X.X.X.129 passthrough=no
add chain=output src-address=192.168.105.0/24 action=mark-routing new-routing-mark=GW-Y.Y.Y.1 passthrough=no
add chain=output src-address=Z.Z.Z.0/24 action=mark-routing new-routing-mark=GW-Z.Z.Z.65 passthrough=no

Вот этот блок: не chain=output а chain=prerouting или chain forward опять же должна быть.

Дальше:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting connection-mark=GW-X.X.X.129 in-interface=!ether1 action=mark-routing new-routing-mark=GW-X.X.X.129 passthrough=no
add chain=prerouting connection-mark=GW-Y.Y.Y.1 in-interface=!ether2 action=mark-routing new-routing-mark=GW-Y.Y.Y.1 passthrough=no
add chain=prerouting connection-mark=GW-Z.Z.Z.65 in-interface=!sfp3 action=mark-routing new-routing-mark=GW-Z.Z.Z.65 passthrough=no

и

Код: Выделить всё

/ip firewall mangle
add chain=prerouting connection-mark=eth1 action=mark-routing new-routing-mark=GW-X.X.X.129 passthrough=no in-interface=!ether1
add chain=prerouting connection-mark=eth2 action=mark-routing new-routing-mark=GW-Y.Y.Y.1 passthrough=no in-interface=!ether2
add chain=prerouting connection-mark=sfp3 action=mark-routing new-routing-mark=GW-Z.Z.Z.65 passthrough=no in-interface=!sfp3

Какой смысл несет второй блок, я что-то вообще не вижу где эти метки присваиваются.

По поводу ната - зачем так сложно всё?!
С разными метками и т.д.
В какой интерфейс отправляем в тот адрес и натим - всё! 3 строчки.

Дальше. У всех правил mangle стоит passthrough=no, очевидно что это будет норм работать для трафика приходящего извне.
Для исходящего наружу - не уверен, надо прямо сидеть и разбираться.

Как итог: может оно и будет работать, но очень сложно всё.
По идее должно быть три блока mangle - по одному для каждого провайдера.
В каждом всего по четыре правила:
1) Помечает соединение пришедшее извне passthrough=no
2) Помечает соединения идущие наружу - например для избранных интерфейсов или адрес-листа (вот здесь не факт, что можно одним правилом обойтись, но даже если и нет они все однотипные) passthrough=yes
2*) Может быть + одно аналогичное для самого роутера.
3) Помечает роутинг для пакетов из предыдущих двух правил и идущих в направлении наружу. passthrough=no
4) Помечает роутинг для пакетов уходящих с самого роутера цепочка output passthrough=no

Всё.

[Kostetyo]

Код: Выделить всё

/ip firewall mangle
add chain=output src-address=X.X.X.0/24 action=mark-routing new-routing-mark=GW-X.X.X.129 passthrough=no
add chain=output src-address=192.168.105.0/24 action=mark-routing new-routing-mark=GW-Y.Y.Y.1 passthrough=no
add chain=output src-address=Z.Z.Z.0/24 action=mark-routing new-routing-mark=GW-Z.Z.Z.65 passthrough=no

Вот этот блок: не chain=output а chain=prerouting или chain forward опять же должна быть.

!!!Отправляем весь трафик в таблицу , который уходит с микрота.

Дальше:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting connection-mark=GW-X.X.X.129 in-interface=!ether1 action=mark-routing new-routing-mark=GW-X.X.X.129 passthrough=no
add chain=prerouting connection-mark=GW-Y.Y.Y.1 in-interface=!ether2 action=mark-routing new-routing-mark=GW-Y.Y.Y.1 passthrough=no
add chain=prerouting connection-mark=GW-Z.Z.Z.65 in-interface=!sfp3 action=mark-routing new-routing-mark=GW-Z.Z.Z.65 passthrough=no

и

Код: Выделить всё

/ip firewall mangle
add chain=prerouting connection-mark=eth1 action=mark-routing new-routing-mark=GW-X.X.X.129 passthrough=no in-interface=!ether1
add chain=prerouting connection-mark=eth2 action=mark-routing new-routing-mark=GW-Y.Y.Y.1 passthrough=no in-interface=!ether2
add chain=prerouting connection-mark=sfp3 action=mark-routing new-routing-mark=GW-Z.Z.Z.65 passthrough=no in-interface=!sfp3

Какой смысл несет второй блок, я что-то вообще не вижу где эти метки присваиваются.

!!!Извиняюсь забыл про построутинг

Код: Выделить всё

/ip firewall mangle
add chain=postrouting routing-table=main out-interface=ether1 connection-state=new  action=mark-connection new-connection-mark=eth1 passthrough=no
add chain=postrouting routing-table=main out-interface=ether2 connection-state=new  action=mark-connection new-connection-mark=eth2 passthrough=no
add chain=postrouting routing-table=main out-interface=sfp3 connection-state=new  action=mark-connection new-connection-mark=sfp3 passthrough=no

По поводу ната - зачем так сложно всё?!
С разными метками и т.д.
В какой интерфейс отправляем в тот адрес и натим - всё! 3 строчки.

!!!Просто имеется несколько подсетей внутренних и необходимо переодически менять для них исходящий канал связи.

Дальше. У всех правил mangle стоит passthrough=no, очевидно что это будет норм работать для трафика приходящего извне.
Для исходящего наружу - не уверен, надо прямо сидеть и разбираться.

!!! Тут не знаю пока что, еще не проверил.

Как итог: может оно и будет работать, но очень сложно всё.
По идее должно быть три блока mangle - по одному для каждого провайдера.
В каждом всего по четыре правила:
1) Помечает соединение пришедшее извне passthrough=no
2) Помечает соединения идущие наружу - например для избранных интерфейсов или адрес-листа (вот здесь не факт, что можно одним правилом обойтись, но даже если и нет они все однотипные) passthrough=yes
2*) Может быть + одно аналогичное для самого роутера.
3) Помечает роутинг для пакетов из предыдущих двух правил и идущих в направлении наружу. passthrough=no
4) Помечает роутинг для пакетов уходящих с самого роутера цепочка output passthrough=no

Всё.

Сейчас соберу мысли в кучу и попробую все проще сделать :))