Два провайдера, задача пустить определенный трафик через второго. Решил начать с самого простого. Маркирую исходящий трафик, чтобы отправить со второго провайдера (ether2). В итоге пингую 77.88.8.8 траффик идет через первого.
XX.XX.XX.XX - первый провайдер
ZZ.ZZ.ZZ.ZZ - второй провайдер
/ip firewall mangle
add action=mark-routing chain=output dst-address=77.88.8.8 log=yes new-routing-mark=ISP222
/ip route
add comment=ISP2 distance=1 gateway=ZZ.ZZ.ZZ.zz routing-mark=ISP222
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.100.9 src-address=10.78.151.33 (нужно для ipsec)
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.78.251.0/24 (Маскарад для LAN через первого провайдера)
add action=masquerade chain=srcnat out-interface=ether2
Лог
in:(unknown 0) out:ether1, proto ICMP (type 8, code 0), XX.XX.XX.XX->77.88.8.8, NAT (XX.XX.XX.XX->ZZ.ZZ.ZZ.ZZ)->77.88.8.8, len 56
Не отрабатывает Routing Mark
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Если трафик не самого роутера, а "проходящий" то должно быть так
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=77.88.8.8 log=yes new-routing-mark=ISP222
-
- Сообщения: 18
- Зарегистрирован: 26 ноя 2018, 13:59
Отправляю пинги с роутера Количество пакетов напротив правила мангл меняется. Fasttrack отключил, затем перезагрузил роутер.
Откуда берется в логах вот это, понять не могу. NAT (XX.XX.XX.XX->ZZ.ZZ.ZZ.ZZ)
Откуда берется в логах вот это, понять не могу. NAT (XX.XX.XX.XX->ZZ.ZZ.ZZ.ZZ)
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Пару вопросов:
1) надо отправлять трафик с самого роутера?
2) а Вы при тестировании (при подаче пингов) делали:
___а) выбирали нужную таблицу маршрутизации (если маркировка есть, значит есть и таблица) ?
___б) выбирали нужный исходящий адрес (условно говоря с какова адреса будет идти пинг)
В целом я бы посоветовал:
1) делать это не с роутера, а с компьютера (так и точнее и лучше и нагляднее и не будет путанности)
2) понять что Вы именно хотите (трафик с роутера загнать куда-то или всё же ряд компов загнать через второй канал?)
3) Всё же при маркировки правильно сначала то, что пришло на второй канал, промаркировать, и уже
этот трафик, условно помеченный, в будущем знать куда его при выходе отправлять.
В Вашем случаи я вижу(предполагаю), что Вы хотите сразу делать вторую часть, не сделав первую.
4) Если надо компьютеры выпускать через другой канал, то такой трафик надо отдельно маркировать, и
отдельной цепочкой (forward) в Mangle
1) надо отправлять трафик с самого роутера?
2) а Вы при тестировании (при подаче пингов) делали:
___а) выбирали нужную таблицу маршрутизации (если маркировка есть, значит есть и таблица) ?
___б) выбирали нужный исходящий адрес (условно говоря с какова адреса будет идти пинг)
В целом я бы посоветовал:
1) делать это не с роутера, а с компьютера (так и точнее и лучше и нагляднее и не будет путанности)
2) понять что Вы именно хотите (трафик с роутера загнать куда-то или всё же ряд компов загнать через второй канал?)
3) Всё же при маркировки правильно сначала то, что пришло на второй канал, промаркировать, и уже
этот трафик, условно помеченный, в будущем знать куда его при выходе отправлять.
В Вашем случаи я вижу(предполагаю), что Вы хотите сразу делать вторую часть, не сделав первую.
4) Если надо компьютеры выпускать через другой канал, то такой трафик надо отдельно маркировать, и
отдельной цепочкой (forward) в Mangle
-
- Сообщения: 18
- Зарегистрирован: 26 ноя 2018, 13:59
Vlad-2, Спасибо за ответ!
Одна из целей - пустить ipsec тоннель через определенного провайдера. Поэтому в первую очередь я решил промаркировать весь исходящий трафик от роутера к определенному адресу.
Отвечаю на вопросы.
1) Да, с роутера
2) а- Я так понял таблица маршрутизации автоматом создается, когда настраиваю правило Mangle. Приложил рисунок.
б - Указал Src-adress при пинге.
На скрине постарался отобразить всю интересующую инфу.
Одна из целей - пустить ipsec тоннель через определенного провайдера. Поэтому в первую очередь я решил промаркировать весь исходящий трафик от роутера к определенному адресу.
Отвечаю на вопросы.
1) Да, с роутера
2) а- Я так понял таблица маршрутизации автоматом создается, когда настраиваю правило Mangle. Приложил рисунок.
б - Указал Src-adress при пинге.
На скрине постарался отобразить всю интересующую инфу.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Получилось?Niblerjkee писал(а): ↑05 дек 2018, 15:27 Vlad-2, Спасибо за ответ!
Одна из целей - пустить ipsec тоннель через определенного провайдера. Поэтому в первую очередь я решил промаркировать весь исходящий трафик от роутера к определенному адресу.
(проверьте) Если зайти в файрволл, закладка Connections и там посмотреть столбец Connection Mark - там есть маркировки у нужных пакетов?
Утилита ПИНГ и Трассерт = единственные утилиты, которые могут явно работать через нужные/заданные
таблицы маршрутизации, поэтому запустите пинг графический и там выберете именно
И нужную таблицу маршрутизации И нужный SRC адрес.
И потом ещё раз проверьте, есть ли маркировка в столбе Connection Mark у пакетов ICMP Ваших
-
- Сообщения: 18
- Зарегистрирован: 26 ноя 2018, 13:59
Это все объясняет. Если ПИНГ-у явно указать, какую таблицу маршрутизации использовать, то пинг идет через нее.Vlad-2 писал(а): ↑05 дек 2018, 18:26 Утилита ПИНГ и Трассерт = единственные утилиты, которые могут явно работать через нужные/заданные
таблицы маршрутизации, поэтому запустите пинг графический и там выберете именно
И нужную таблицу маршрутизации И нужный SRC адрес.
И потом ещё раз проверьте, есть ли маркировка в столбе Connection Mark у пакетов ICMP Ваших
Спасибо!