Страница 2 из 3
Re: Маркировка домена
Добавлено: 03 окт 2023, 21:22
meczengo
нет доступа к этим доменам, но из-за них в роут уходят мои, и все остальные, каких могут быть тысячи на ip адресах cloudflare
Re: Маркировка домена
Добавлено: 03 окт 2023, 21:26
xvo
Вы хотите отделить свои домены, которые указывают на ресурсы, находящиеся физически в вашей внутренней сети, от чужих, которые на тех же белых адресах cloudflare?
Просто добавьте DNS записи для своих доменов, указывающие на внутренние адреса, и все.
Re: Маркировка домена
Добавлено: 03 окт 2023, 21:30
meczengo
Нет, это сайты, которые так же проксируются cloudflare в интернет.
Re: Маркировка домена
Добавлено: 03 окт 2023, 21:42
xvo
А зачем на них ходить другим маршрутом, если они проксируются через тот же IP?
Re: Маркировка домена
Добавлено: 03 окт 2023, 21:58
meczengo
Мне на них нужно ходить прямым маршрутом, а не через роут. Да, я понимаю, что их можно прописать в статических правилах dns на их адреса за CF. Но во-первых их много, во-вторых их конфиги так же постоянно меняются. Если же на них ходить через роут это вызывает некоторые неудобства и путаницу, и вообще это ни к чему. В роут нужно отправить 3 домена, а уходит все что есть на ip адресах cloudflare.
Re: Маркировка домена
Добавлено: 04 окт 2023, 00:10
xvo
Можно попробовать по tls-host маркировать, или если там http - по layer7, а больше, учитывая, что адреса динамические, особо нет идей, как это на одном микротике провернуть.
На двух можно.
На первом по DNS отдавать фиктивные адреса, которые будут принадлежать второму, на втором обращения натить в реальные адреса (скриптом держать их в актуальном состоянии), и плюс отправлять на первый от своего имени.
И вот тогда на первом легко маркировать на основании источника.
Возможно это можно как-то и на одном провернуть - с двумя vrf и патчкордом между своими же портами.
Re: Маркировка домена
Добавлено: 04 окт 2023, 11:44
meczengo
По TLS host вроде маркируется, по крайней мере по логам, но запрос к сайту не проходит ERR_CONNECTION_RESET. Может как то не так маркирую: mangle -> prerouting, protocol: tcp, tsl host: cloudflare.com, action: mark routing. Похоже не все пакеты уходят в роут.
Re: Маркировка домена
Добавлено: 04 окт 2023, 13:49
xvo
Стандартно: fasttrack отключен?
И почему cloudflare.com?
Вам надо свои сайты смотреть, будет ли работать для них.
Re: Маркировка домена
Добавлено: 04 окт 2023, 14:52
meczengo
Включен, с выключенным тоже не работает. cloudflare.com для примера, согласен не очень удачный, с другими доменами тоже не работает.
На двух можно.
На первом по DNS отдавать фиктивные адреса, которые будут принадлежать второму, на втором обращения натить в реальные адреса (скриптом держать их в актуальном состоянии), и плюс отправлять на первый от своего имени.
И вот тогда на первом легко маркировать на основании источника.
Возможно это можно как-то и на одном провернуть - с двумя vrf и патчкордом между своими же портами.
Кстати, а на одном разве тоже самое сделать не получится, скриптом поддерживать актуальность to-addresses в dst-nat?
Вот думаю заморочиться с api через сервер на php (на микроте мне сложно будет написать такое из-за синтаксиса). В целом все это выглядит жутким оверхедом.
Re: Маркировка домена
Добавлено: 04 окт 2023, 17:56
xvo
Значит, во первых fasttrack в любом случае отключать, как минимум для части трафика, которая не ходит по таблице main - без этого все мараировки просто бесполезны, не применительно к ситуации с tls (вообще не известно, рабочий ли это вариант в принципе), а вообще.
А во-вторых, действительно должно получиться на одном роутере: mangle prerouting же идет до dst-nat, так что по dns отдаем фиктивный адрес, дальше эти пакеты на фиктивный адрес ловим в prerouting’е, помечаем соединение, заворачиваем в другую таблицу, и тут же в dst-nat меняем адрес на правильный.