доступ на микротик из вне

Обсуждение оборудования и его настройки
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну судя по таблице маршрутов, вы в маршрутизации эти маркеры не используете, а значит у вас все работает на уровне дистанции.


chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

да, дистанциями я настроил резервирование инета по провайдерам. но как это влияет на входящий доступ??


chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

кажется вы оказались правы, проблема действительно в маркировке пакетов. сейчас я выдернул основного провайдера и получил внешний доступ. где я ошибся??
[admin2@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=mark-connection new-connection-mark=WAN-UTK
passthrough=yes in-interface=Port2

1 chain=prerouting action=mark-routing new-routing-mark=WAN-UTK-
passthrough=yes src-address=172.16.6.11-172.16.6.254
connection-mark=WAN-UTK

2 chain=forward action=mark-connection new-connection-mark=Wan-YOTA
passthrough=yes in-interface=USB

3 chain=prerouting action=mark-routing new-routing-mark=WAN-Yota-
passthrough=yes src-address=10.0.0.10


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

но как это влияет на входящий доступ??

так же как и на исходящий. не бывает так, что спросили доступ у одного адреса (йопта), а ответ пришёл с другого адреса (порт2).
надо на цепочке input выделять входящие подключения (connection) по каждому из интерфейсов и на цепочке output метить пакеты маркерами маршрута. а потом, для этих маркеров делаете нулевые маршруты через кажого из аплинков. при этом дистанции этих маршрутов должны быть меньше дистанций тех маршрутов которыми вы failover сделали


chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

simpl3x писал(а):надо на цепочке input выделять входящие подключения (connection) по каждому из интерфейсов и на цепочке output метить пакеты маркерами маршрута.

input output это в mangle?? я у меня forward и prerouting. это не правильно?? я делал вот по этой статье
http://lanmarket.ua/stats/mikrotik-rout ... 20skriptov)
+ добавил два правила в route
для каждого провайдера его routing-mark по наименьшим дистанциям.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

chek_ писал(а):
simpl3x писал(а):надо на цепочке input выделять входящие подключения (connection) по каждому из интерфейсов и на цепочке output метить пакеты маркерами маршрута.

input output это в mangle?? я у меня forward и prerouting. это не правильно?? я делал вот по этой статье
http://lanmarket.ua/stats/mikrotik-rout ... 20skriptov)
+ добавил два правила в route
для каждого провайдера его routing-mark по наименьшим дистанциям.

это не то чтобы не правильно, это просто для разных целей.
input\output - это цеопчки для трафика самого микротика. мы ведь пытаемся получить доступ к мироктику? значит и работать должны тут. prerouting\forward\postrouting это трафик который проходит через микротик. нам тут делать не чего. НО для других задач оно может вам понадобится.


chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

simpl3x писал(а):input\output - это цеопчки для трафика самого микротика.

а что указывать в качестве src address?? и в качестве action я по прежнему указываю mark connections для обоих правил??


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

chek_ писал(а):
simpl3x писал(а):input\output - это цеопчки для трафика самого микротика.

а что указывать в качестве src address??

а зачем там что то указывать? вы перечитайте что я написал, поищите по форуму, тут люди каждый месяц такими вопросами озадачиваются, посмотрите какие еще опции доступны при разметке.
может быть, чтобы увидеть входящие соединения на какой то из интерфейсов, нужно указать в маркировке этот самый интерфейс? =) разве не логично? причем здесь src-address? вам принципиально знать, с какого адреса вы пытаетесь попасть на микротик?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

и в качестве action я по прежнему указываю mark connections для обоих правил??

да, первое марк-конекшн, второе, по этим маркерам делаете марк-роуте


chek_
Сообщения: 12
Зарегистрирован: 18 июн 2013, 13:06

просто тяжело понять работу микротика, в других маршрутизаторах подобные операции делаются автоматически.
сейчас у меня такие настройки
5 chain=input action=mark-connection new-connection-mark=Y passthrough=yes in-interface=USB

6 chain=output action=mark-routing new-routing-mark=Y- passthrough=yes connection-mark=Y
-------------------------
2 A S 0.0.0.0/0 USB 1 Y-

доступа по прежнему нет.
что я не правильно понимаю??


Ответить