Mikrotik с настроенным резервированием каналов пингуется через раз?

Question

[Максим Тарасов]

На Mikrotik'е настроено резервирование каналов. Работает все корректно, кроме пинга снаружи на сам Mikrotik. Подозреваю, что если повезет, и ответ уходит в тот же канал, откуда пришел пинг, то все работает, а вот если ответ решит уйти в другой канал, то пинга нет. Как заставить собственный трафик Mikrotik'а уходить в правильный канал?

Ниже выдержка из конфигурации. Почему-то мне кажется, что ошибка где-то в этой части конфигурации.

/ip firewall mangle
add action=mark-connection chain=forward in-interface=ether1-Megaline new-connection-mark=Megaline_c
add action=mark-connection chain=forward in-interface=l2tp-Beeline new-connection-mark=Beeline_c
add action=mark-routing chain=prerouting connection-mark=Megaline_c new-routing-mark=Megaline_r src-address=192.168.1.0/24
add action=mark-routing chain=prerouting connection-mark=Beeline_c new-routing-mark=Beeline_r src-address=192.168.1.0/24

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-Megaline
add action=masquerade chain=srcnat out-interface=l2tp-Beeline

/ip route
add distance=3 gateway=88.204.242.49 routing-mark=Megaline_r
add distance=3 gateway=192.168.255.254 routing-mark=Beeline_r
add distance=4 gateway="192.168.255.254,192.168.255.254,192.168.255.254,192.168.255.254,88.204.242.49"

Answer 1

[Melkij]

Меня смущает, что new-connection-mark у вас в forward.
А, ну да. На пинги кто отвечать должен? Сам микротик. Значит цепочка forward не используется, вместо неё input и output.
Обычно на prerouting эти правила вешают.

Comments

[Максим Тарасов]

Я тоже думал в эту сторону. Пробовал ставить и input, и input с forward вместе - не помогает. А по поводу prerouting нельзя ли поподробнее (или ссылку)? У меня же вроде prerouting используется.

[Melkij]

new-connection-mark на входящие пакеты обычно я вижу в prerouting: wiki.mikrotik.com/wiki/Manual:PCC
В примере для ECMP wiki.mikrotik.com/wiki/ECMP_load_balancing_with_ma... , впрочем, input используется. Но и new-routing-mark в output.

Хм, а я не доскроллил правила: mark-routing у вас же только для src-address=192.168.1.0/24 - что-то очень сильно сомневаюсь, что сам роутер отвечает с этой подсети, ему же сподручнее отвечать сразу с интерфейсов, на которых соответствующие gateway и висят.

Answer 2

[Клёвый Админ]

Немного непонятно как работает ваш l2tp, для него же у вас по-любому есть ещё какие-то правили, покажите их. Возможно беда в этом.

Ну и следуем совету выше, используем для входящего трафика ветку input - на ней ловим соединения и отмечаем их, а на ветке output помечаем через какой маршрут выходить ответному пакету. Так же убираем passthrough со вторых правил, чтобы трафик не участвовал в мангле в дальнейшей обработке и не попадал под соседние правила.
Получаем на каждый внешний интерфейс два правила - одно ловит пакет, второе направляет его назад. Ну и не забываем про правила для работы l2tp, их тоже нужно корректно обработать в такой конструкции.

Логика микротика в этих случаях очень простая, главное её понять =)