/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=new \
passthrough=yes
add action=mark-routing chain=output dst-address=8.8.8.8 new-routing-mark=\
new1 passthrough=yes
/ip route
add distance=1 gateway=2.2.2.2
add distance=2 gateway=1.1.1.1 routing-mark=new1
Проверил на стенде. С роутера 8.8.8.8 выходит на 2 провайдера. С пк через первого.
трафик с маршрутизатора в нужный интерфейс
-
Sertik
- Сообщения: 1660
- Зарегистрирован: 15 сен 2017, 09:03
Спасибо, за желание помочь. Буду разбираться. Где-то у меня что-то не так. Может fasttrack мешает (хотя пробовал отключать и перезагружать роутер) - не помогло. Не пойму, почему не хочет у меня трафик OUTPUT ходить через определенный WAN-интерфейс (пусть провайдер считаем, хотя там у меня пограничный другой роутер - я на него шлю). Если то же самое делаю с помощью /ip route rules - нормально всё ... Боюсь тут нужен человек, хорошо разбирающийся в схемах прохождения трафика ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Тоже были проблемы когда отсылал сообщения в телегу через апи, но сильно разбираться не стал попробовал нат, он помог и я начал натить "заруленый" траффик.Sertik писал(а): ↑13 мар 2020, 18:25 Спасибо, за желание помочь. Буду разбираться. Где-то у меня что-то не так. Может fasttrack мешает (хотя пробовал отключать и перезагружать роутер) - не помогло. Не пойму, почему не хочет у меня трафик OUTPUT ходить через определенный WAN-интерфейс (пусть провайдер считаем, хотя там у меня пограничный другой роутер - я на него шлю). Если то же самое делаю с помощью /ip route rules - нормально всё ... Боюсь тут нужен человек, хорошо разбирающийся в схемах прохождения трафика ...
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=output dst-address-list=freeVPN new-routing-mark=freeVPN passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat dst-address-list=freeVPN out-interface=CHR_Amsterdam
/ip route
add distance=1 gateway=192.168.77.4 routing-mark=freeVPN-
Sertik
- Сообщения: 1660
- Зарегистрирован: 15 сен 2017, 09:03
Спасибо, попробую, отпишусь ... 
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
podarok66
- Модератор
- Сообщения: 4404
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
To KaNelam: вы не правы, матчасть нужно смотреть не Sertik'у. Вот очень наглядная схема packet flow ( да простит меня Дмитрий Скоромнов, но его схема наиболее понятная мне)
Если смотреть цепочку output, то трафик пойдёт вот так
То есть явно решение о маршрутизации (routing decision) принимать-то и негде, потому что этот момент стоит в самом начале пути пакета, до маркировки. Есть обходной путь в виде настройки маршрутизации (routing adjustment), но я не понял пока, как именно этот момент настроить. Мне самому стало интересно, поэтому я пока буду отслеживать тему. Возможно, кто-то более подкованный в этом вопросе просветит меня и остальную аудиторию.
Кстати KARaS'b , srcnat включён в эту схему в нужном месте, поэтому по идее должно сработать... Ждём, что скажет Sertik
Если смотреть цепочку output, то трафик пойдёт вот так
То есть явно решение о маршрутизации (routing decision) принимать-то и негде, потому что этот момент стоит в самом начале пути пакета, до маркировки. Есть обходной путь в виде настройки маршрутизации (routing adjustment), но я не понял пока, как именно этот момент настроить. Мне самому стало интересно, поэтому я пока буду отслеживать тему. Возможно, кто-то более подкованный в этом вопросе просветит меня и остальную аудиторию.
Кстати KARaS'b , srcnat включён в эту схему в нужном месте, поэтому по идее должно сработать... Ждём, что скажет Sertik
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
KaNelam
- Сообщения: 627
- Зарегистрирован: 11 июл 2017, 13:03
Был не прав. На стенде я получил нужный результат и выложил. Похоже что-то забыл... Завтра перепроверю еще раз. Самому интересно. 
-
KaNelam
- Сообщения: 627
- Зарегистрирован: 11 июл 2017, 13:03
Разобрался окончательно. В одном из маршрутов шлюзом вытупал интерфейс (тот через который улетал трафик output), нужен ip.
Достаточно оказалось одного правила:
Достаточно оказалось одного правила:
Код: Выделить всё
/ip firewall mangle
chain=output action=mark-routing new-routing-mark=new passthrough=yes dst-address=8.8.8.8 log=no log-prefix="" -
Sertik
- Сообщения: 1660
- Зарегистрирован: 15 сен 2017, 09:03
Приветствую всех ! Ну что 
Когда стал Натить исходящий output меченный трафик - всё заработало. Теперь думаю - да, хорошо, но ведь не правильно это, так как, приходится мне по сути натить локальный трафик между своими роутерами... Как бы по другому нельзя выходит согласно схеме трафика ?
На роутере, на котором я "страдаю гемороем" установлен Dude-сервер, "следящий" за многими локальными и удаленными VPN-сетями. И работать ему приходится через разные WAN-каналы в зависимости от их доступности и некоторых других условий ... Геморой настоящий, думаю, может придется нормальную балансировку каналов на нём делать, но очень не охота, так как, "навернуто" на нём уже много чего и не ясно как это потом заставить работать.
А вообще всем спасибо большое. Отдельно Karas`b и Podarok66, конечно.
Скажу, что совет Karas`b мне реально помог. Всё заработало, как я хотел. Только так и не понял (к своему стыду) почему ..."скажет Sertik ?"
Когда стал Натить исходящий output меченный трафик - всё заработало. Теперь думаю - да, хорошо, но ведь не правильно это, так как, приходится мне по сути натить локальный трафик между своими роутерами... Как бы по другому нельзя выходит согласно схеме трафика ?На роутере, на котором я "страдаю гемороем" установлен Dude-сервер, "следящий" за многими локальными и удаленными VPN-сетями. И работать ему приходится через разные WAN-каналы в зависимости от их доступности и некоторых других условий ... Геморой настоящий, думаю, может придется нормальную балансировку каналов на нём делать, но очень не охота, так как, "навернуто" на нём уже много чего и не ясно как это потом заставить работать.
А вообще всем спасибо большое. Отдельно Karas`b и Podarok66, конечно.
Последний раз редактировалось Sertik 16 мар 2020, 23:49, всего редактировалось 1 раз.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
Sertik
- Сообщения: 1660
- Зарегистрирован: 15 сен 2017, 09:03
Вот тут интересную переписку нашел небезызвестного спеца "Chupaka" с другим комрадом ...
http://forum.ru-board.com/topic.cgi?for ... start=1100
Это насчет Routing Adjustment
Но до этого уровня мне как до Марса ...
Хотя, получается, что я ничего не зная, действуя методом проб и ошибок интуитивно использовал именно этот механизм, указав в правиле для мангл для исходящего трафика output меченный маршрут ...
т.е. механизм Routing Adjustment работает вроде как при подобных конструкциях, как я понял (ниже для примера):
http://forum.ru-board.com/topic.cgi?for ... start=1100
Это насчет Routing Adjustment
Но до этого уровня мне как до Марса ...
Хотя, получается, что я ничего не зная, действуя методом проб и ошибок интуитивно использовал именно этот механизм, указав в правиле для мангл для исходящего трафика output меченный маршрут ...
т.е. механизм Routing Adjustment работает вроде как при подобных конструкциях, как я понял (ниже для примера):
Код: Выделить всё
/ip firewall mangle add action=mark-routing chain=output disabled=yes dst-address-list=vpn_net new-routing-mark="outroot" passthrough=no
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1 interface=ether1 check-gateway=ping gateway-state=reachable distance=1 scope=30 target-scope=10 routing-mark="outroot"фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947