Russian Users MikroTik | Форум пользователей MikroTik

Есть 2 микротика, у каждого свой интернет, соединены по локальной сети.

Задача с микротика 1 выпустить траффик до одного порта UDP конкретного белого IP через микротик 2. (например, 1.1.1.1:88)

У микротика 1 есть адрес в интернете 95.0.0.1, и адрес в сторону микротика2 - 192.168.2.1
У микротика 2 есть адрес в интернете 95.0.0.2 и адрес в сторону микротика 1 - 192.168.2.2

на первом микротике делаю правило мангла "output" для пакетов до нужного dst по udp c нужным портом, и с действием "mark routing" с именем rtab2

а IP.ROUTES создан дефолтный маршрут через микротик 2 (192.168.2.2) для таблицы rtab2

На микротике 2 дефолтный маршрут в его интернет-соединение, поднят нат.

На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую, а не через микротик 2.

ROS 7.2.2. на обоих микротиках.

Что я забыл настроить?

Erik_U писал(а): ↑07 май 2022, 10:26 На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую.

Цепочку на prerouting смените: output это только то, что с самого микротика уходит, даже не очень понятно, как второй микрот это соединение вообще видит.
Ну и проверить, чтобы нат случайно не работал на трафик между двумя микротиками.

xvo писал(а): ↑08 май 2022, 08:58

Erik_U писал(а): ↑07 май 2022, 10:26 На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую.

Цепочку на prerouting смените: output это только то, что с самого микротика уходит, даже не очень понятно, как второй микрот это соединение вообще видит.
Ну и проверить, чтобы нат случайно не работал на трафик между двумя микротиками.

Не, нужен именно output. Нужные пакеты генерит сам микротик.
Вопрос легко решается, если на 1 микротике включить нат в сторону 2-го.
А как решить без ната не могу придумать.

Erik_U писал(а): ↑08 май 2022, 19:42 Не, нужен именно output. Нужные пакеты генерит сам микротик.

Тогда не очень понятно, почему он их с неправильного адреса генерирует.
По идее должен с адреса висящего на исходящем интерфейсе.

Но да, если так и если это что-то, чему нельзя в явном виде указать, с какого адреса, то принудительно srcnat на выходе в нужный адрес.

xvo писал(а): ↑10 май 2022, 13:36 Тогда не очень понятно, почему он их с неправильного адреса генерирует.

Мне вот тоже это не понятно. Может кто знает?