Доступ к Mikrotik с публичным IP

[evgeniy.babushkin]

Как то так?
Если все верно, то ничего не работает, кроме 1,2 правила в списке.
Чет пока не вьеду, что куда..

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=prerouting in-interface="PPTP SELENA INET" new-connection-mark=mark-from-pptp-selena-inet passthrough=yes
add action=mark-routing chain=prerouting connection-mark=mark-from-pptp-selena-inet new-routing-mark=mark-to-pptp-selena-inet
add chain=prerouting src-address-list=route-pptp-selena-inet action=mark-routing new-routing-mark=mark-to-pptp-selena-inet passthrough=yes

[xvo]

Третье правило тоже должно быть mark-connection.

[evgeniy.babushkin]

Есть описание решения? пока никак не получается... как только уже не маркировал... что только не делал.. ортваливается или одно или другое

[xvo]

Смотрите, у вас три провайдера, по два правила на каждого:
1) одно маркирует новые соединения идущие изнутри по вашему списку.
2) второе добавляет всем пакетам, у которых есть метка соединения соответствующую метку маршрута.

3)Плюс к этому, для того соединения, которое у вас доступно извне нужно еще одно правило, которое проставляет метку соединения для новых соединений, которые прилетают снаружи.

Итого 7 правил.

У вас уже есть все три правила для того wan’а, который доступен извне.
Осталось по два правила для остальных wan’ов.

[evgeniy.babushkin]

Вот получилось рабочая конфигурация.

Код: Выделить всё

Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; MARK FROM ISP1
      chain=input action=mark-connection new-connection-mark=mark-from-isp1 passthrough=no in-interface=ether1-isp1-norcom log=no log-prefix="" 
 1    ;;; MARK TO ISP1
      chain=output action=mark-routing new-routing-mark=mark-to-isp1 passthrough=no connection-mark=mark-from-isp1 log=no log-prefix="" 
 2    ;;; ADDRESS LIST ROUTE-ISP1
      chain=prerouting action=mark-routing new-routing-mark=mark-to-isp1 passthrough=no src-address=192.168.10.0/24 src-address-list=route-isp1 log=no 
      log-prefix="" 
 3    ;;; MARK FROM ISP2
      chain=input action=mark-connection new-connection-mark=mark-from-isp2 passthrough=no in-interface=ether2-isp2-selena log=no log-prefix="" 
 4    ;;; MARK TO ISP2
      chain=output action=mark-routing new-routing-mark=mark-to-isp2 passthrough=no connection-mark=mark-from-isp2 log=no log-prefix="" 
 5    ;;; ADDRESS LIST ROUTE-ISP2
      chain=prerouting action=mark-routing new-routing-mark=mark-to-isp2 passthrough=no src-address=192.168.10.0/24 src-address-list=route-isp2 log=no 
      log-prefix="" 
 6    ;;; MARK FROM ISP3
      chain=input action=mark-connection new-connection-mark=mark-from-isp3 passthrough=no in-interface=ether3-isp3-mts log=no log-prefix="" 
 7    ;;; MARK TO ISP3
      chain=output action=mark-routing new-routing-mark=mark-to-isp3 passthrough=no connection-mark=mark-from-isp3 log=no log-prefix="" 
 8    ;;; ADDRESS LIST ROUTE-ISP3
      chain=prerouting action=mark-routing new-routing-mark=mark-to-isp3 passthrough=no src-address=192.168.10.0/24 src-address-list=route-isp3 log=no 
      log-prefix="" 
21    ;;; MARK FROM PPTP SELENA INET
      chain=input action=mark-connection new-connection-mark=mark-from-pptp-selena-inet passthrough=no in-interface=PPTP SELENA INET log=no 
      log-prefix="" 
22    ;;; MARK TO PPTP SELENA INET
      chain=output action=mark-routing new-routing-mark=mark-to-pptp-selena-inet passthrough=no connection-mark=mark-from-pptp-selena-inet log=no 
      log-prefix="" 
23    ;;; ADDRESS LIST ROUTE-PPTP-SELENA-INET
      chain=prerouting action=mark-routing new-routing-mark=mark-to-pptp-selena-inet passthrough=no src-address=192.168.10.0/24 
      src-address-list=route-pptp-selena-inet log=no log-prefix=""

[xvo]

А почему у правил MARK FROM и MARK TO цепочки input и output, а не prerouting (или forward) - это получается они только трафик самого микротика помечают.