Russian Users MikroTik | Форум пользователей MikroTik

Добрый день.
Прошу помощи.
Условия:
Есть такая сеть
ISP1(192.168.1.1)<internet>(192.168.1.2)Mikrotik(192.168.3.1)<bridge>(192.168.3.2)FILTERSERVER(192.168.2.2)<internet>(192.168.2.1)ISP2
Так же на микротике заведены клиенты с ip pool 192.168.3.3-254
Клиенты и FILTERSERVER находятся в одном bridge у Mikrotik
Задача:
В случае падения ISP1 отправить клиентов в интернет через FILTERSERVER.
Настроен masquerade на dest ip 192.168.3.2
Простое указание маршрута 0.0.0.0/0 gw 192.168.3.2 не работает, пакеты от клиентов все равно ходят к ISP1

Как можно реализовать, есть у кого-нибудь идеи ?

Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?

У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?

algerka писал(а): ↑13 мар 2018, 08:16 Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?

akior писал(а): ↑13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?

При запросе скажем сайта Яндекс, пакет идёт до яндекса, а у Вас в правиле ната(маскарадинга)
стоит такое условие: что если я иду на шлюз (3.2) то меня только тогда от-маскарадить. Остальное не маскарадиться,
Зачем такое условие?

Вам надо так: что если локальная сеть идёт в интернет, то натить её, то есть уберите в правиле не нужное доп.условие, а именно:
dst-address=192.168.3.2 и
оставьте так: ip firewall nat add chain=srcnat action=masquerade

akior писал(а): ↑13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?

algerka писал(а): ↑13 мар 2018, 08:16 Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?

Я имел в виду на компьютерах два шлюза!
А так, нарисуйте схему, может понятнее будет.

Все дело в том, что второй шлюз подключен локально к микротику (порт добавлен в bridge)
Указав:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
любой пакет от ПК к шлюзу 192.168.3.2 будет натиться?

algerka писал(а): ↑13 мар 2018, 12:42

akior писал(а): ↑13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?

algerka писал(а): ↑13 мар 2018, 08:16 Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?

Я имел в виду на компьютерах два шлюза!
А так, нарисуйте схему, может понятнее будет.

Да, то что я предлагал не годится.

В вашем варианте я бы оба канала подключил на микротик, так проще.

Если бы можно было завести все на микротик, проблем конечно же было меньше :)
Я снял дамп с FILTERSERVER, пакеты на него прилетают, но не натятся.

Вопрос видимо в том, как написать правило для NAT LAN>LAN
ip firewall nat add chain=srcnat out-interface=bridge action=masquerade ?