Mikrotik и 2 аплинка

[achekalin]

Простой вопрос, неожиданно что-то усложнившийся: в микротик входят линки от двух провайдеров. Оба линка - PPPoE. Хочется сделать простой failover, в видуе: пока работает канал ISP1, то гоним трафик через него. Как он упал - трафик гоним через ISP2. Как поднялся ISP1 - переключаемся назад на него.

Решений несколько, и можно выкрутиться даже без скриптов, что не может не радовать (скажем, делаем маршруты в 0.0.0.0/0 через каждого из провайдеров, только ставим им разные веса, и добавляем для красоты немного mangle), но... при этом пинг снаружи идет только на адрес, относящийся к актовному из наших каналов. Другими словами, если мы работаем через канал ISP1, то адрес канала на нашей стороне будет отлично пинговаться, а адрес другого канал - нет, как перейдем на ISP2 - пинг будет ходить только на адрес второго канала.

Вопрос: как сделать пинг "нашей" стороны обоих каналов?

[vqd]

Настроить микротик на полноценную работу с двумя каналами.
Если в кратце то

1. Создаем два маршрута и маркируем их
2. Маркируем соединения на инпуте
3. Заруливаем ответы через тот маршрут через который пришел запрос

Если надо что бы пробросы работали то аналогично только на форварде

[achekalin]

Это я примерно представляю. Когда пакет входит от одного или другого провайдера - это chain с именем input. В ней мы метим пакеты, ок.

Теперь вопрос: а как сделать, чтобы после "отбивания" пинга подходящая метка вешалась и на пакет-ответ?

[vqd]

ну теперь на output помеченные соединения заруливаете в нужный маршрут

Только маркируете не пакеты, а соединения на инпуте

[achekalin]

Что-то вроде:

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input dst-address=__ip2-on-router__ in-interface=pppoe-out1 new-connection-mark=ISP2-Input passthrough=no
add action=mark-routing chain=output new-routing-mark=ISP2-Output passthrough=no src-address=__ip2-on-router__

/ip route
add distance=1 gateway=pppoe-out2 routing-mark=ISP2-Output

И то же для второго линка.

Этого достаточно, или следует на что-то еще внимание обратить?

[vqd]

Код: Выделить всё

add action=mark-connection chain=input in-interface=ether2-wan2 new-connection-mark=in_wan2
add action=mark-connection chain=input in-interface=ether1-wan1 new-connection-mark=in_wan1
add action=mark-routing chain=output connection-mark=in_wan2 new-routing-mark=wan2
add action=mark-routing chain=output connection-mark=in_wan1 new-routing-mark=wan1

/ip route
add distance=1 gateway=1.1.1.1 routing-mark=wan2
add distance=1 gateway=2.2.2.2 routing-mark=wan1

[achekalin]

Странно, но...

делаю по вашем варианту:

add action=mark-routing chain=output connection-mark=in_wan2 new-routing-mark=wan2

- не работает

делаю по своему варианту

add action=mark-routing chain=output src-address=1.1.1.2 new-routing-mark=wan2

- работает.

Решил проверить, отключил начальные строчки, те, что у Вас

Код: Выделить всё

add action=mark-connection chain=input in-interface=ether2-wan2 new-connection-mark=in_wan2
add action=mark-connection chain=input in-interface=ether1-wan1 new-connection-mark=in_wan1

все равно работает.

Получаем, что метка на входящем пакете не копируется на пакет ответный, так что матчить остается по src-address, что как-то неожиданно.

[vqd]

На пакет не, на соеденение да. Вобщем алгоритм вы поняли, дальше дело техники

[vqd]

К стати насчет источника именно в этом решении вы правы.