Пинг через интерфейс

[qwerty123123]

Здравствуйте.
Помогите понять проблему.
Есть микрот, через порты combo1 и ether1 приходят провайдеры PROV1 и PROV2 соответственно. Переключение каналов сделано через ping-gateway и подмену шлюза:

 

# mar/30/2023 11:27:00 by RouterOS 6.48.6
# model = CCR1009-7G-1C-1S+
/interface ethernet set [ find default-name=combo1 ] comment=PROV1
/interface ethernet set [ find default-name=ether1 ] comment=PROV2

/interface list add name=WAN_LIST
/interface list member add interface=combo1 list=WAN_LIST
/interface list member add interface=ether1 list=WAN_LIST

/ip address add address=222.222.222.222/25 comment=PROV2 interface=ether1 network=222.222.222.128
/ip address add address=111.111.111.111/30 comment=PROV1 interface=combo1 network=111.111.111.108

/ip route add check-gateway=ping comment=PROV2 distance=1 gateway=8.8.4.4
/ip route add check-gateway=ping comment=PROV1 distance=2 gateway=1.1.1.3

/ip route add comment=PROV2 distance=1 dst-address=8.8.4.4/32 gateway=222.222.222.129 scope=10
/ip route add comment=PROV1 distance=1 dst-address=1.1.1.3/32 gateway=111.111.111.109 scope=10

/ip firewall nat add action=masquerade chain=srcnat comment=Internet out-interface-list=WAN_LIST

почему в текущем варианте не работает пинг с самого микрота через интерфейс combo1 на все внешние адреса, кроме 1.1.1.3 - который указан в качестве шлюза?
т.е. ping 1.1.1.1 interface=combo1 или ping ya.ru interface=combo1 даст результат timeout
а ping 1.1.1.1 interface=ether1 или ping ya.ru interface=ether1,т.е. через другой интерфейс, работает нормально.

При этом, если изменить приоритет провайдеров, т.е.

 

/ip route add check-gateway=ping comment=PROV2 distance=2 gateway=8.8.4.4
/ip route add check-gateway=ping comment=PROV1 distance=1 gateway=1.1.1.3

то пинг отрабатывает нормально через любой внешний интерфейс на любой внешний адрес.
Цепочка output в фаерволле не контролируется, отключение всех правил так же ничего не меняет.

[qwerty123123]

если активен провайдер 1 (порт combo1)



если активен провайдер 2 (порт ethet1)

[xvo]

Чтобы схема с рекурсивными маршрутами работала нормально нужно в ней делать несколько дополнений в ip route rule.

Код: Выделить всё

/ip route rule

# локалка ходит по основной таблице
# либо подставьте свою, либо можно описать все локальные диапазоны.

add dst-address=10.10.0.0/16 table=main

# пинг рекурсивных гейтвеев тоже только через основную таблицу, и можно включить check-gateway

add dst-address=8.8.4.4/32 src-address=222.222.222.222/32 table=main
add dst-address=1.1.1.3/32 src-address=111.111.111.111/32 table=main

# реальные гейтвеи тоже

add dst-address=222.222.222.129/32 table=main
add dst-address=111.111.111.109/32 table=main

# и наконец пакеты для каждого внешнего IP должны уходить только через своего провайдера
 
add action=lookup-only-in-table src-address=222.222.222.222/32 table=PROV2
add action=lookup-only-in-table src-address=111.111.111.111/32 table=PROV1

# ну и маршруты надо продублировать в дополнительную таблицу

/ip route add check-gateway=ping comment=PROV2 distance=1 gateway=8.8.4.4 routing-mark=PROV2
/ip route add check-gateway=ping comment=PROV1 distance=2 gateway=1.1.1.3 routing-mark=PROV1

Тогда все будет работать гладко.