Microtik два провайдера разделение трафика

Обсуждение ПО и его настройки
mr.Den
Сообщения: 13
Зарегистрирован: 01 май 2013, 16:00

а помоему dstnat
Я думаю стоит логи посмотреть в этих двух цепочках


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

да, дстнат, ошибся.
покажите полный листинг вашего мангл, нат, роутинга. желательно через команду export


mr.Den
Сообщения: 13
Зарегистрирован: 01 май 2013, 16:00

Все равно не работает
Вот листинг
/ip firewall filter
add chain=input src-address=95.*.*.*
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=forward comment="esli oshibka to ubivaem" connection-state=invalid
add chain=forward comment="esli normalno to puskaem" connection-state=established
add chain=forward comment="esli normalno to puskaem" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=beeline
add action=drop chain=input comment="default configuration" in-interface=megafon3g
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=megafon passthrough=no protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add check-gateway=ping distance=1 gateway=212.*.*.*routing-mark=beeline scope=255
add check-gateway=ping distance=1 gateway=megafon3g routing-mark=megafon scope=255
add check-gateway=ping distance=10 gateway=212.*.*.*
add check-gateway=ping distance=11 gateway=megafon3g


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ну а где у вас разрешение forward в фильтрах?
и что именно не работает? вы откуда проверяете, с самого мтика? или с железки которая за мтиком?


mr.Den
Сообщения: 13
Зарегистрирован: 01 май 2013, 16:00

C железки за микротиком, ведь у нас prerouting а не output цепочка.
в фаирволе поумолчанию же идет открытый forward и если напрямик без маркировки и отбора роутинга все работает. Так nxj правило разрешения форварда не нужно, да оно и было счетчик прибавлялся а результата ноль


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ради спортивного интереса от нефиг делать решил проверить свою теорию. два аплинка, по "серой"(ether1-gateway) и "белой"(vlan100) сети.

Код: Выделить всё

[admin@internet-hub] > /ip firewall mangle export
# may/11/2013 20:12:47 by RouterOS 5.24
#
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no new-routing-mark=\
    to_white passthrough=no protocol=icmp src-address=192.168.2.0/24
add action=mark-routing chain=prerouting disabled=no new-routing-mark=\
    to_grey passthrough=no src-address=192.168.2.0/24
[admin@internet-hub] > ip firewall nat export
# may/11/2013 20:12:57 by RouterOS 5.24
#
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=\
    ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat disabled=no out-interface=vlan100 \
    to-addresses=0.0.0.0
add action=masquerade chain=srcnat disabled=no out-interface=\
    gre-to-office to-addresses=0.0.0.0
[admin@internet-hub] > ip route export
# may/11/2013 20:13:58 by RouterOS 5.24
#
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.31.0.253 \
    routing-mark=to_grey scope=255 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=91.238.12.254 \
    routing-mark=to_white scope=255 target-scope=10
add disabled=no distance=10 dst-address=0.0.0.0/0 gateway=172.31.0.253 \
    scope=0 target-scope=10
add check-gateway=ping disabled=no distance=11 dst-address=0.0.0.0/0 \
    gateway=91.238.12.254 scope=0 target-scope=10


ip firewall filter чист(временно отключен полностью, ибо правил слишком много, перебирать долго).
рабочий пример.
 
1.jpg


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

 
2.jpg
(331.96 КБ) 15 скачиваний


mr.Den
Сообщения: 13
Зарегистрирован: 01 май 2013, 16:00

Мангле ставьте маркер на серый.
Выключайте начинайте пинговать и включите маркировку.
и тогда не будет работать


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Вобщем, заканчивайте выдумывать. Выключаю, включаю маркировку на лету. Все работает, маршрут меняется так же на лету - это видно по скринам.


mr.Den
Сообщения: 13
Зарегистрирован: 01 май 2013, 16:00

вообще жесть!
добавил
add action=mark-routing chain=prerouting new-routing-mark=beeline passthrough=no protocol=!icmp
и все заработало, только вот если выключить соединение megafon и то пойдет трафик через beeline и обратно включаю megafon соединение пропадает


Ответить