Маркировка пакетов через тунель gre

gregory1988 · 10 дек 2021, 13:39

Добрый день, добавил правила для маркировки чтобы все пакеты с одного пк внутри сети шли через туннель и белый ip маршрутизатора с другой стороны, но правила не отрабатывают, раньше так делал всё работало. Добавил три правила
1. в ip route dst. adress 0.0.0.0/0, gateway adress тунеля с дрогой стороны routing mark - mark, маршрут определён корректно
2. NAT chain scr nat, out inerface gre tunnel, action mascuerade.
3 firewall mangle chain prerouting, routing mark - mark, scr adress - ip адрес машины внутри сети, action - mark routing, new routing mark - mark. До этого тоже самое делал на другой железке всё было ок, сначала мешал фаст трек, тут всё по аналогии, не идут пакеты в мангле и нат через туннель, что может быть не так ????

Inner · 10 дек 2021, 14:18

А зачем в этой схеме мангл? Не проще ли использовать:

Код: Выделить всё

add disabled=no dst-address=<IP адреса на другой стороне> gateway=<IP туннеля на другой стороне>

Аналогично и на другой стороне, но уже с указанием адресов на Вашей стороне.

А если хотите через mangle, то в целом хорошо. Запросы будут уходить на другую сторону, а та сторона знает куда нужно отвечать?

gregory1988 · 10 дек 2021, 14:23

Делал через mangle на другой стороне не делал ничего и работало выходил в инет через другой IP, который на другой стороне туннеля. Сейчас почему - то сделал всё тоже самое на ccr 1009 почему - то не работает, а что необходимо прописать на другом роутере, если делать через mangle?

gregory1988 · 10 дек 2021, 14:36

маршруты через туннель до локалок прописаны

Inner · 10 дек 2021, 14:48

gregory1988 писал(а): ↑10 дек 2021, 14:23 Делал через mangle на другой стороне не делал ничего и работало выходил в инет через другой IP, который на другой стороне туннеля. Сейчас почему - то сделал всё тоже самое на ccr 1009 почему - то не работает, а что необходимо прописать на другом роутере, если делать через mangle?

Если на вашей стороне идёт маскарад, то по сути ничего не надо. Но если мы говорим о конечных устройствах за роутерами, то чтобы они умели общаться друг с другом в равной мере, то пропишите адреса на вашей стороне. Туннель точно поднялся? Между собой оба внутренних ip туннеля пингуются? Приложите конфу с двух роутеров. Нужны именно конфигурации mangle, routes и firewall на всякий случай, чтобы убедиться, что нет блокирующих правил.

gregory1988 · 10 дек 2021, 14:58

Туннель поднят подключен к данной машине по рдп, firewall отключал полность не помогло, манг только прописывал на одной стороне, нужны все маршруты обоих устройств ?

gregory1988 · 10 дек 2021, 15:00

Между собой пингются как адреса туннелей так и адреса бриджей роутеров

gregory1988 · 10 дек 2021, 15:04

A S 0.0.0.0/0 10.10.10.2 1
1 A S 0.0.0.0/0 95.163.25.1 1
2 ADC 10.10.10.0/24 10.10.10.3 office 0
3 ADC 10.70.7.0/24 10.70.7.1 lan 0
4 ADC провайдер/24 провайдер combo1 0
5 A S 192.168.24.0/24 10.10.10.2 1
6 A S 192.168.31.0/24 10.10.10.2 1

gregory1988 · 10 дек 2021, 15:05

Это маршруты роутера на котором пытаюсь настроить маркировку

gregory1988 · 10 дек 2021, 15:09

0.0.0.0/0 провайдер 1
1 ADC 10.10.10.0/24 10.10.10.2 COD 0
2 A S 10.70.7.0/24 10.10.10.3 1
3 ADC провайдер/27 провайдер ether1 0
4 ADC 192.168.24.30/32 192.168.24.1 <l2tp-gregory> 0
5 ADC 192.168.31.0/24 192.168.31.1 bridge 0

Маркировка пакетов через тунель gre

Вход • Регистрация