Маркировка пакетов через тунель gre

[gregory1988]

Маршруты на другой стороне

[gregory1988]

Настройки mangle описывал выше, ничего не менял

[Inner]

Туннель поднят подключен к данной машине по рдп, firewall отключал полность не помогло, манг только прописывал на одной стороне, нужны все маршруты обоих устройств ?

Что ж. Конфы не увижу, я так понимаю. Тогда поясню на пальцах.
Предположим, что мы имеем Микротик 1 и Микротик 2. Далее М1 и М2 соответственно.
М1 и М2 связаны собой туннелем gre.
На М1 внутренний адрес gre 192.168.0.1
На М2 внутренний адрес gre 192.168.0.2
Рассматриваем ситуацию где туннель gre успешно создан и работает исправно. На него не влияют никакие правила.
Теперь рассматриваем как добраться с ПК1 за М1 до ПК2 за М2.
Пакет пойдёт по схеме ПК1 - М1 - М2 - ПК2. И вернется ответ по схеме ПК2 - М2 - М1 - ПК1.
А как ПК 1 должен понять где этот ПК2?
Через туннель. Но это нам уже подскажет сам М1

Код: Выделить всё

add distance=1 dst-address=10.0.0.0/24 gateway=192.168.0.2

А как должен ответить ПК2? Это ему подскажет М2

Код: Выделить всё

add distance=1 dst-address=10.1.0.0/24 gateway=192.168.0.1

Теперь пакеты будут ходить корректно и ответы на них будут также корректно возвращаться.
Но мы сделаем сложнее. Мы не хотим, чтобы с ПК2 могли получить доступ к ПК1, а вот с ПК1 до ПК2 доступ нужен.
На М1 указываем

Код: Выделить всё

add action=masquerade chain=srcnat out-interface=gre

Теперь с ПК1 все запросы будут маскироваться под 192.168.0.1
Следовательно на М2 убираем

Код: Выделить всё

add distance=1 dst-address=10.1.0.0/24 gateway=192.168.0.1

А если ещё сложнее?
Берём mangle.
Маркируем пакеты до удаленных адресов через адреслист ListZaM2 (заведомо конечно его создаём)

Код: Выделить всё

add action=mark-routing chain=prerouting dst-address-list=ListZaM2 new-routing-mark=ListZaM2 passthrough=yes

Ну и про роутинг не забываем

Код: Выделить всё

add distance=1 gateway=192.168.0.2 routing-mark=ListZaM2

По сути вот Вам ответ максимально полный. Можно и ещё усложнить. Использовать, например, L7. Естественно вместо gre можете использовать любой вид туннеля. Суть не сильно меняется.

[gregory1988]

Так в маршрутах там же видно что есть маршруты через туннель до локалок, тоесть из компа в lan1 m1 проходят пинги через gre до компа lan2 m2

[Inner]

Так в маршрутах там же видно что есть маршруты через туннель до локалок, тоесть из компа в lan1 m1 проходят пинги через gre до компа lan2 m2

Да. Всё верно. Роутер же должен знать куда слать запрос. В чём собственно вопрос-то? Если убрать эти маршруты, то как роутер должен понять что делать с пакетами?

[gregory1988]

Они должны быть, вопрос в том что не работает маркировка, через dst list также пробовал делать, но почемуто не идёт трафик через нат, который с out interface gre, соответственно и пакеты не маркируются ИП показывает не туннеля а фактический

[Inner]

Они должны быть, вопрос в том что не работает маркировка, через dst list также пробовал делать, но почемуто не идёт трафик через нат, который с out interface gre, соответственно и пакеты не маркируются ИП показывает не туннеля а фактический

Так я для того и прошу у Вас конфигурацию. На словах оно у Вас всё верно, а по факту как нам искать ошибку? Нет конфигурации - ищите ответ в более ранних сообщениях

[gregory1988]

Как правильно показать вам конфигурацию не показывая серые адреса роутеров ?

[Inner]

Как правильно показать вам конфигурацию не показывая серые адреса роутеров ?

Ну например для показывания правил Firewall, в терминале нужно вбить ip firewall filter export так и по всем остальным пунктам.
Нужны правила firewall, route, mangle, nat с двух устройств. Внешние адреса уже тут при вставке в ответ "замажте", замените на другие. Так же требуется конфа и с другого роутера. И не забудьте пометить какая конфа какому роутеру принадлежит

[gregory1988]

2 минуты