Маркировка пакетов через тунель gre
-
- Сообщения: 41
- Зарегистрирован: 27 ноя 2021, 01:51
Маршруты на другой стороне
-
- Сообщения: 41
- Зарегистрирован: 27 ноя 2021, 01:51
Настройки mangle описывал выше, ничего не менял
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Что ж. Конфы не увижу, я так понимаю. Тогда поясню на пальцах.gregory1988 писал(а): ↑10 дек 2021, 14:58 Туннель поднят подключен к данной машине по рдп, firewall отключал полность не помогло, манг только прописывал на одной стороне, нужны все маршруты обоих устройств ?
Предположим, что мы имеем Микротик 1 и Микротик 2. Далее М1 и М2 соответственно.
М1 и М2 связаны собой туннелем gre.
На М1 внутренний адрес gre 192.168.0.1
На М2 внутренний адрес gre 192.168.0.2
Рассматриваем ситуацию где туннель gre успешно создан и работает исправно. На него не влияют никакие правила.
Теперь рассматриваем как добраться с ПК1 за М1 до ПК2 за М2.
Пакет пойдёт по схеме ПК1 - М1 - М2 - ПК2. И вернется ответ по схеме ПК2 - М2 - М1 - ПК1.
А как ПК 1 должен понять где этот ПК2?
Через туннель. Но это нам уже подскажет сам М1
Код: Выделить всё
add distance=1 dst-address=10.0.0.0/24 gateway=192.168.0.2
Код: Выделить всё
add distance=1 dst-address=10.1.0.0/24 gateway=192.168.0.1
Но мы сделаем сложнее. Мы не хотим, чтобы с ПК2 могли получить доступ к ПК1, а вот с ПК1 до ПК2 доступ нужен.
На М1 указываем
Код: Выделить всё
add action=masquerade chain=srcnat out-interface=gre
Следовательно на М2 убираем
Код: Выделить всё
add distance=1 dst-address=10.1.0.0/24 gateway=192.168.0.1
Берём mangle.
Маркируем пакеты до удаленных адресов через адреслист ListZaM2 (заведомо конечно его создаём)
Код: Выделить всё
add action=mark-routing chain=prerouting dst-address-list=ListZaM2 new-routing-mark=ListZaM2 passthrough=yes
Код: Выделить всё
add distance=1 gateway=192.168.0.2 routing-mark=ListZaM2
-
- Сообщения: 41
- Зарегистрирован: 27 ноя 2021, 01:51
Так в маршрутах там же видно что есть маршруты через туннель до локалок, тоесть из компа в lan1 m1 проходят пинги через gre до компа lan2 m2
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Да. Всё верно. Роутер же должен знать куда слать запрос. В чём собственно вопрос-то? Если убрать эти маршруты, то как роутер должен понять что делать с пакетами?gregory1988 писал(а): ↑10 дек 2021, 15:50 Так в маршрутах там же видно что есть маршруты через туннель до локалок, тоесть из компа в lan1 m1 проходят пинги через gre до компа lan2 m2
-
- Сообщения: 41
- Зарегистрирован: 27 ноя 2021, 01:51
Они должны быть, вопрос в том что не работает маркировка, через dst list также пробовал делать, но почемуто не идёт трафик через нат, который с out interface gre, соответственно и пакеты не маркируются ИП показывает не туннеля а фактический
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Так я для того и прошу у Вас конфигурацию. На словах оно у Вас всё верно, а по факту как нам искать ошибку? Нет конфигурации - ищите ответ в более ранних сообщенияхgregory1988 писал(а): ↑10 дек 2021, 16:05 Они должны быть, вопрос в том что не работает маркировка, через dst list также пробовал делать, но почемуто не идёт трафик через нат, который с out interface gre, соответственно и пакеты не маркируются ИП показывает не туннеля а фактический
-
- Сообщения: 41
- Зарегистрирован: 27 ноя 2021, 01:51
Как правильно показать вам конфигурацию не показывая серые адреса роутеров ?
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Ну например для показывания правил Firewall, в терминале нужно вбить ip firewall filter export так и по всем остальным пунктам.gregory1988 писал(а): ↑10 дек 2021, 16:11 Как правильно показать вам конфигурацию не показывая серые адреса роутеров ?
Нужны правила firewall, route, mangle, nat с двух устройств. Внешние адреса уже тут при вставке в ответ "замажте", замените на другие. Так же требуется конфа и с другого роутера. И не забудьте пометить какая конфа какому роутеру принадлежит