Mangle(ы) и маршруты.

Обсуждение ПО и его настройки
Sertik
Сообщения: 538
Зарегистрирован: 15 сен 2017, 09:03

10 янв 2019, 12:36

Спасибо, за теплые слова. Однако, чем больше я помогаю людям, тем больше убеждаюсь, что может и не надо было ...
Это так лирика, продолжать не будем.
Снова есть вопрос по манглам - в этой теме или где лучше задать вопрос ? Или в личку написать ? Всё же никак не могу понять почему VPN у меня не хотят работать через маркированные маршруты ...
Вопрос скажем такой - зачем при наличии маркированных маршрутов при Вашей универсальной маркировке вообще нужны не маркированные маршруты ? Можно их вообще выкинуть или нет ?


Чего не знаем то нагуглим
Sertik
Сообщения: 538
Зарегистрирован: 15 сен 2017, 09:03

10 янв 2019, 12:53

Наверное проще, попросить Вас аудит одного моего Микротика сделать, про который речь идет. Можно его зацепить к Вам как PPTP-КЛИЕНТ, чтобы Вам зайти на него можно было ?
Или можно через ТимВьюер поработать, чтобы я мог видеть и понимать, что и как Вы поправите ?


Чего не знаем то нагуглим
Sertik
Сообщения: 538
Зарегистрирован: 15 сен 2017, 09:03

10 янв 2019, 16:34

Похоже разобрался таки сам как заставить VPN работать через маркированный маршрут. Можно с Вашими манглами, можно без них.
Если с Вашими, то нужно имя VPN-интерфейса засунуть в один из Ваших WAN-интерфейс-листов (допустим в WAN-ls1). И сделать руками маркированный маршрут до VPN-сервера через соответствующую марку и шлюз-VPN-клиент.
Тогда всё работает !

Если без Ваших, то соответственно просто отдельными марками промаркировать входящий (или прероутинг) и исходящий трафики и маршрут аналогично с маркировкой до vpn-сервера сделать.

еще раз спасибо !!!


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 1553
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

10 янв 2019, 23:12

Я рад что у Вас всё получилось, (пока была у меня ночь)

Примерно же в этом русле я ни раз повторял, что сеть (IP-адресация) закреплённая за VPN у меня
уже привязана к тому каналу провайдера, куда надо её отправлять.

То есть я работаю больше с IP-маршрутизацией, Вам нравиться пока работать
с интерфейсами (такое ощущение у меня складывается).
Тут кому что ближе/удобнее. :hi_hi_hi:

Удачи.


На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 538
Зарегистрирован: 15 сен 2017, 09:03

11 янв 2019, 11:54

Я бы не сказал, что мне нравится - сделал как смог. Только так и заработало. Сколько ни пробовал по другому - запихивать скажем в адрес-листы адреса внешние и внутренние VPN-сервера - так не получается - маршрутизатор "ходил" туда по немаркированным маршрутам.
Попробую ещё - может чего не доглядел.

Еще раз скажите, пожалуйста, как Вы делаете чтобы с Вашими манглами зарулить VPN в нужный канал WAN.

Ещё я рано радовался, т.к. когда оба канала WAN (у меня это eth1 и eth5) доступны - то да, теперь у меня VPN пашет через указанный для него - через eth1.
Но если его обрубить - выключаю интерфейс eth1, то ожидаю, что и VPN работать не будет - фиг - он всё равно подключается ! (хотя замаркирован на WAN-ls1 и соответственно ISP1-rout марку). То есть, получается по Вашим манглам, если маркированный канал (маршрут) не доступен, значит соединение осуществляется через немаркированный маршрут так ? И по этому у меня VPN попер через eth5 (единственный, доступный канал).
Хотя у меня стоит в рульс - смотреть каждой маркировке только в свою таблицу (но это то тут и не влияет). VPN начинает инициировать соединение (это клиент) и делает это через немаркированный маршрут. Все коннекты с VPN-сервера попадают на инпут eth5 и соответственно маркируются меткой выхода со второго канала.

Теперь думаю, как сделать так, чтобы если канал, на который завернут VPN, не доступен - VPN вообще не работал (мне так нужно).
Вероятно нужно делать отдельные манглы для out-цепочек, т.к. это VPN-клиент и он инициирует соединение - то есть сделать, например, чтобы для output-цепочек интерфейса pptp-out1 (VPN) получать марку ISP1-rout. А для нее канал (eth1) не доступен и коннект тогда проходить не должен (если, конечно, не полезет опять в немаркированный путь).

Это одно рассуждение.
Еще вопрос - правильно ли я понимаю, что с Вашей схемой манглов маркируется всё или у Микротика есть какие-то типы данных, которые, всё равно идут только через немаркированные маршруты (например, Fasttrack или ещё что-то ?) Фастртрек я привел для примера лишь, у меня он выключен.


Чего не знаем то нагуглим
Sertik
Сообщения: 538
Зарегистрирован: 15 сен 2017, 09:03

11 янв 2019, 12:39

Не, что то вообще рано радовался. Попробовал то, что описал выше - не работает. Всё равно VPN завернутый на WAN1 при выключенном WAN1 (eth1) подключается !
Чудеса !
Потом вообще странно - при выключенном WAN1 в манглах счетчики по input и output цепочкам для WAN1 бегают (увеличиваются). Как такое может быть когда канал выключен ? Само собой счетчики увеличиваются и для правил WAN2 - но там то eth5 включен.
Кто там гадит - может коннекшен трекер какой-нибудь ?


Чего не знаем то нагуглим
Sertik
Сообщения: 538
Зарегистрирован: 15 сен 2017, 09:03

13 янв 2019, 20:58

Учитель ! Где Вы ? Не отвечаете :-(


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 1553
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

13 янв 2019, 21:55

Sertik писал(а):
13 янв 2019, 20:58
Учитель ! Где Вы ? Не отвечаете :-(
Выходные были, дела...

Можете мне всё же как-то скрином показать как у Вас что сделано.
Мне очень сложно Вас понимать (в рамках кода/конфигурации, мыслите Вы очень порой не стандартно). :smu:sche_nie:

У Вас микротик-клиент, имеет два канала, у меня дома микротик, который и сам делает исходящие соединения (рррое и т.д.),
и на него подключаются. Кстати, я не регламентирую откуда могут подключаться, то есть на любой мой канал могут подключаться,
а выйти уже в "глобал" при таком подключении = только и всегда в один/через один канал.

Поэтому мне и сложно вникать и уж тем более что-то Вам помогать, конфигов нет, и часто мне приходиться убеждать порой по 2 раза
как надо сделать Вам (хотя бы какие-то общие моменты).
А тем более есть старое правило:
нашёл/получил инструкцию, сделай её в точь в точь, проверь что работает, и только потом вноси изменения,
или свои тюнинговые моменты, но не раньше....

P.S.
Данная отдельная тема создана из прошлых наших сообщений в теме про виланы,
дабы не "мусорить", да и виланы пусть будут виланами, а трафик, манглы и маршрутизация,
пока попытаемся в этом теме что-то прояснить.
НО выше того, что я дал Вам и что умеею, мне кажется и скорее всего больше преподнести уже не смогу Вам....


На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 538
Зарегистрирован: 15 сен 2017, 09:03

13 янв 2019, 23:21

Ура ! :-):

Вашу настройку я воспроизвел в точности и коррективы не вносил.
В ближайшее время (для меня завтра, у нас с Вами разница во времени существенная) постараюсь выложить скрины настроек.
Главное не могу понять - как при выключенном физически Ван-канале работает pptp-клиент, трафик которого завернут вроде как полностью на этот канал ...
Если будет не достаточно - может и в живую поглядите ...
Простите, что я Вас достаю, но реально получить такие знания мне сложно, спросить вообще не кого в моей среде обитания ...


Чего не знаем то нагуглим
Sertik
Сообщения: 538
Зарегистрирован: 15 сен 2017, 09:03

15 янв 2019, 09:35

Прошу, прощения. К сожалению, из-за некоторых экспериментов, потерял удаленный доступ к этому роутеру ... (надеюсь только удаленный ...) :-(
Выключил все маркированные маршруты, оставив главные, хотел посмотреть как коннекты "перейдут" на немаркированные пути ... - но ....

Вероятно нужно было сначала манглы выключить, потом дождаться переподключения VPN-клиента через главные маршруты, а потом уже выключать меченные маршруты.

Причем не могу зайти даже с другого роутера, подключенного к eth1. Надеюсь, что сохранился доступ через порты локальной сети. Ну или придется в крайнем случае сбросить, конфигурация сохраненная есть. Смогу восстановить только в выходные, когда туда физически доберусь, тогда, как восстановлю, продолжу Вас мучать своими вопросами про работу VPN через манглы (пришлю скрины и настройки) ...


Чего не знаем то нагуглим
Ответить