Перестает работать проброс портов при активации второго провайдера через РСС

Обсуждение ПО и его настройки
Ответить
pminaeff
Сообщения: 7
Зарегистрирован: 11 авг 2023, 11:56

Добрый день!
Имеем три устройства микротик.
192.168.77.1 - микротик с симкой, серый айпи
192.168.99.1 - микротик с симкой, белый айпи
192.168.0.1 - RB3011, работающий в качестве маршрутизатора

если принудительно (интерфейсом или физически) отключить 77.1, то проброс портов работает. Как только подключаю его обратно, то мгновенно перестает из интернета отвечать порт.

ПОдскажите, как восстановить проброс портов, пир работе с двумя симками?

Код: Выделить всё

# 2023-08-24 23:28:43 by RouterOS 7.10.2
# software id = DYKJ-KK3J
#
# model = RB3011UiAS
# serial number = E7E90F9B7B0F
/interface bridge
add name=LAN
/interface ethernet
set [ find default-name=ether1 ] name=MTS
set [ find default-name=ether2 ] name=OPSOS2
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.2-192.168.0.254
/ip dhcp-server
add address-pool=dhcp interface=LAN name=dhcp1
/port
set 0 name=serial0
/routing table
add disabled=no fib name=to-MTS
add disabled=no fib name=to-OPSOS2
/interface bridge port
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5
add bridge=LAN interface=ether6
add bridge=LAN interface=ether7
add bridge=LAN interface=ether8
add bridge=LAN interface=ether9
add bridge=LAN interface=ether10
add bridge=LAN interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=MTS list=WAN
add interface=LAN
/ip address
add address=192.168.0.1/24 interface=LAN network=192.168.0.0
/ip dhcp-client
add add-default-route=no interface=MTS use-peer-dns=no use-peer-ntp=no
add add-default-route=no interface=OPSOS2 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.0.231 client-id=1:0:25:90:63:3c:b1 mac-address=\
    00:25:90:63:3C:B1 server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1,8.8.8.8
/ip firewall address-list
add address=192.168.0.231 list=MTS
/ip firewall filter
add action=add-src-to-address-list address-list=OPSOS2 address-list-timeout=\
    none-dynamic chain=forward dst-port=5060 protocol=tcp
add action=add-src-to-address-list address-list=OPSOS2 address-list-timeout=\
    none-dynamic chain=forward dst-port=5060 protocol=udp
add action=accept chain=forward
add action=accept chain=input
add action=accept chain=output
/ip firewall mangle
add action=accept chain=prerouting comment=Accept dst-address=192.168.99.0/24
add action=accept chain=prerouting dst-address=192.168.77.0/24
add action=accept chain=prerouting dst-address=192.168.0.0/24
add action=mark-connection chain=input in-interface=MTS new-connection-mark=\
    MTS_in passthrough=yes
add action=mark-connection chain=input in-interface=OPSOS2 \
    new-connection-mark=OPSOS2_in passthrough=yes
add action=mark-connection chain=prerouting in-interface=MTS \
    new-connection-mark=MTS_in passthrough=yes
add action=mark-connection chain=prerouting in-interface=OPSOS2 \
    new-connection-mark=OPSOS2_in passthrough=yes
add action=mark-connection chain=prerouting dst-address-type=local \
    in-interface=LAN new-connection-mark=MTS_in passthrough=yes \
    per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting dst-address-type=local \
    in-interface=LAN new-connection-mark=OPSOS2_in passthrough=yes \
    per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=output connection-mark=MTS_in new-routing-mark=\
    to-MTS passthrough=yes
add action=mark-routing chain=output connection-mark=OPSOS2_in \
    new-routing-mark=to-OPSOS2 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=MTS_in in-interface=\
    LAN new-routing-mark=to-MTS passthrough=yes
add action=mark-routing chain=prerouting connection-mark=OPSOS2_in \
    in-interface=LAN new-routing-mark=to-OPSOS2 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-port=47911 in-interface=MTS protocol=tcp \
    to-addresses=192.168.0.231 to-ports=3389
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.99.1 routing-table=main \
    suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.77.1 routing-table=main \
    suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.99.1 routing-table=\
    to-MTS suppress-hw-offload=no
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.77.1 routing-table=\
    to-OPSOS2 suppress-hw-offload=no
/system clock
set time-zone-name=Europe/Moscow
/system note
set show-at-login=no
#error exporting "/tool/graphing"
#interrupted


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Как у вас вообще хоть что-то работает, если у вас маскарад без каких-либо условий?

Править маскарад, править PCC (сейчас оно вообще помечает только то, что роутеру предназначено), добавлять во все правила, размечающие в mangle соединения, чтобы они работали только на новых соединениях.
Ну и раз один из адресов белый - firewall сделать.


Telegram: @thexvo
Вернуться к началу
pminaeff
Сообщения: 7
Зарегистрирован: 11 авг 2023, 11:56

Как я понимаю, то маскарадинг надо на два разбить? Для каждого провайдера?
А с Рсс что прописать надо?


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Не надо его ни на что разбивать, он у вас и наружу и внутрь работает.


Telegram: @thexvo
Вернуться к началу
pminaeff
Сообщения: 7
Зарегистрирован: 11 авг 2023, 11:56

А как тогда поправить маскарадинг?


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Добавить условие out-interface-list=WAN, если он не пустой.


Telegram: @thexvo
Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»