Маркировка пакетов

Обсуждение ПО и его настройки
Ответить
pavelbag
Сообщения: 10
Зарегистрирован: 14 янв 2013, 03:48

Помогите настроить Mikrotik, а то всю голову сломал.

Правила в firewall стандартные, брал с мануала в интернете:

Код: Выделить всё

 0   ;;; Drop invalid connections
     chain=input action=drop connection-state=invalid
 1   ;;; Allow established connections
     chain=input action=accept connection-state=established
 2   ;;; Allow ICMP
     chain=input action=accept protocol=icmp
 3   ;;; Allow access from local network
     chain=input action=accept src-address=192.168.1.0/24 in-interface=bridge-local
 6   ;;; Drop everything else
     chain=input action=drop
 7   ;;; Drop invalid connections
     chain=forward action=drop connection-state=invalid
 8   ;;; Allow established connections
     chain=forward action=accept connection-state=established
 9   ;;; Allow related connections
     chain=forward action=accept connection-state=related
10   chain=forward action=drop src-address=0.0.0.0/8
11   chain=forward action=drop dst-address=0.0.0.0/8
12   chain=forward action=drop src-address=127.0.0.0/8
13   chain=forward action=drop dst-address=127.0.0.0/8
14   chain=forward action=drop src-address=224.0.0.0/3
15   chain=forward action=drop dst-address=224.0.0.0/3
16   chain=forward action=jump jump-target=tcp protocol=tcp
17   chain=forward action=jump jump-target=udp protocol=udp
18   chain=forward action=jump jump-target=icmp protocol=icmp
19   ;;; Deny TFTP
     chain=tcp action=drop protocol=tcp dst-port=69
20   ;;; Deny RPC portmapper
     chain=tcp action=drop protocol=tcp dst-port=111
21   ;;; Deny RPC portmapper
     chain=tcp action=drop protocol=tcp dst-port=135
22   ;;; Deny NBT
     chain=tcp action=drop protocol=tcp dst-port=137-139
23   ;;; Deny CIFS
     chain=tcp action=drop protocol=tcp dst-port=445
24   ;;; Deny NFS
     chain=tcp action=drop protocol=tcp dst-port=2049
25   ;;; Deny NetBus
     chain=tcp action=drop protocol=tcp dst-port=12345-12346
26   ;;; Deny NetBus
     chain=tcp action=drop protocol=tcp dst-port=20034
27   ;;; Deny BackOriffice
     chain=tcp action=drop protocol=tcp dst-port=3133
28   ;;; Deny DHCP
     chain=tcp action=drop protocol=tcp dst-port=67-68
29   ;;; Deny TFTP
     chain=udp action=drop protocol=udp dst-port=69
30   ;;; Deny PRC portmapper
     chain=udp action=drop protocol=udp dst-port=111
31   ;;; Deny PRC portmapper
     chain=udp action=drop protocol=udp dst-port=135
32   ;;; Deny NBT
     chain=udp action=drop protocol=udp dst-port=137-139
33   ;;; Deny NFS
     chain=udp action=drop protocol=udp dst-port=2049
34   ;;; Deny BackOriffice
     chain=udp action=drop protocol=udp dst-port=3133
35   ;;; Echo reply
     chain=icmp action=accept protocol=icmp icmp-options=0:0
36   ;;; Net unreachable
     chain=icmp action=accept protocol=icmp icmp-options=3:0
37   ;;; Host unreachable
     chain=icmp action=accept protocol=icmp icmp-options=3:1
38   ;;; Host unreachable fragmentation required
     chain=icmp action=accept protocol=icmp icmp-options=3:4
39   ;;; Allow source quench
     chain=icmp action=accept protocol=icmp icmp-options=4:0
40   ;;; Allow echo request
     chain=icmp action=accept protocol=icmp icmp-options=8:0
41   ;;; Allow time exceed
     chain=icmp action=accept protocol=icmp icmp-options=11:0
42   ;;; Allow parameter bad
     chain=icmp action=accept protocol=icmp icmp-options=12:0
43   ;;; Deny all other types
     chain=icmp action=drop

На Mikrotik поднят VPN-сервер и для удаленных клиентов прописаны правила:

Код: Выделить всё

 4   ;;; Allow PPTP
     chain=input action=accept protocol=tcp dst-address=192.168.1.11 in-interface=pppoe-bicnet dst-port=1723
 5   ;;; Allow GRE
     chain=input action=accept protocol=gre dst-address=192.168.1.11 in-interface=pppoe-bicnet

В NAT разрешен доступ в интернет локальным клиентам и доступ к сети удаленные клиентам, также открыты порты на VPN-сервер:

Код: Выделить всё

 0   ;;; Allow internet for ip-1
     chain=srcnat action=masquerade src-address-list=ip-1 out-interface=pppoe-bicnet
 1   ;;; Allow local network for vpn-1
     chain=srcnat action=masquerade src-address-list=vpn-1 out-interface=bridge-local
 2   ;;; Allow PPTP
     chain=dstnat action=dst-nat to-addresses=192.168.1.11 to-ports=1723 protocol=tcp src-address-list=legal-ip in-interface=pppoe-bicnet dst-port=1723
 3   ;;; Allow GRE
     chain=dstnat action=dst-nat to-addresses=192.168.1.11 protocol=gre src-address-list=legal-ip in-interface=pppoe-bicnet

В таблице маршрутов тоже все в порядке:

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          pppoe-bicnet              1
 1 ADC  188.191.168.37/32  178.132.0.178   pppoe-bicnet              0
 2 ADC  192.168.1.0/24     192.168.1.11    bridge-local              0

В такой конфигурации работает все нормально, но появилась необходимость подключения второго провайдера. Для этого я вначале промаркировал пакеты для первого провайдера:

Код: Выделить всё

 0   chain=prerouting action=mark-routing new-routing-mark=to-bicnet passthrough=yes src-address-list=ip-1 
 1   chain=prerouting action=mark-routing new-routing-mark=to-bicnet passthrough=yes src-address-list=vpn-1
и меняю маршрут:

Код: Выделить всё

 0 A S  dst-address=0.0.0.0/0 gateway=pppoe-bicnet gateway-status=pppoe-bicnet reachable distance=1 scope=30 target-scope=10 routing-mark=to-bicnet 


У меня сразу отваливаются удаленные клиенты и с Mikrotik не пингуется интернет, локальные клиенты интернет видят. Как мне правильно промаркировать пакеты, чтобы все работало?
Последний раз редактировалось pavelbag 20 июн 2013, 04:31, всего редактировалось 1 раз.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

0 chain=prerouting action=mark-routing new-routing-mark=to-bicnet passthrough=yes src-address-list=ip-1 
1 chain=prerouting action=mark-routing new-routing-mark=to-bicnet passthrough=yes src-address-list=vpn-1


у вас маркировка идёт в цепочке prerouting, пакеты самого микротика не попадают в эту цепочку. исходящие пакеты в цепочке output, входящие в цепочке input.

Код: Выделить всё

0 A S dst-address=0.0.0.0/0 gateway=pppoe-bicnet gateway-status=pppoe-bicnet reachable distance=1 scope=30 target-scope=10 routing-mark=to-bicnet 

вот и получается что для самого микротика у вас нет маршрута. вам надо либо добавить нулевой маршрут без метки, либо добавить маркеры для самого мтика.


pavelbag
Сообщения: 10
Зарегистрирован: 14 янв 2013, 03:48

pavelbag писал(а):вот и получается что для самого микротика у вас нет маршрута. вам надо либо добавить нулевой маршрут без метки, либо добавить маркеры для самого мтика.


Как мне правильно добавить маркеры для самого Mikrotik? Можете привести пример?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

chain=output action=mark-routing new-routing-mark=to-bicnet passthrough=yes

но если вы собираетесь использовать одновременно два линка, для доступа к микротику, то задача усложняется. в этом случае вам нужно будет маркировать соединения, а потом по этим маркерам размечать пакеты.

Код: Выделить всё

chain=input action=mark-connection in-interface=bicnet new-connection-mark=from-bicnet passthrough=yes
chain=output action=mark-routing connection-mark=from-bicnet new-routing-mark=to-bicnet passthrough=yes

и точно такую же пару правил, для другого интерфейса.


pavelbag
Сообщения: 10
Зарегистрирован: 14 янв 2013, 03:48

Добавил правила для Mikrotik, но пинги с самого все равно не идут:

Код: Выделить всё

chain=input action=mark-connection new-connection-mark=from-bicnet passthrough=yes in-interface=pppoe-bicnet 
chain=output action=mark-routing new-routing-mark=to-bicnet passthrough=yes connection-mark=from-bicnet


А когда прописываю одно правило, то Mikrotik вообще выбивает из локальной сети и зайти на него можно только по MAC-адресу:

Код: Выделить всё

chain=output action=mark-routing new-routing-mark=to-bicnet passthrough=yes


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

А когда прописываю одно правило, то Mikrotik вообще выбивает из локальной сети и зайти на него можно только по MAC-адресу:

Код: Выделить всё

chain=output action=mark-routing new-routing-mark=to-bicnet passthrough=yes

чо то я маху дал, просто добавьте маршрут дефолтный через какой либо ваш аплинк, без каких либо маркеров.


Ответить