Как настроить Hairpin NAT для внутреннего ресурса, имея 2 подключенные внешние интернет-линии?

Question

[Exoskeleton]

Имеется железка rb2011uas-2hnd-in.

На неё настроено одновременное использование 2-х интернет-линий разных провайдеров.
Для этого использовался хабр, а конкретнее статья по ссылке habrahabr.ru/post/244385 :
Выбрал load balancing используя PCC

# Настроим сети провайдеров:
/ip address add address=10.100.1.1/24 interface=ISP1
/ip address add address=10.200.1.1/24 interface=ISP2
# Настроим локальный интерфейс 
/ip address add address=10.1.1.1/24 interface=LAN
# скроем за NAT все что выходит из локальной сети
/ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat
#Пометим каждое соединение пришедшее снаружи и адресованное нашему роутеру:
/ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=cin_ISP1
/ip firewall mangle add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=cin_ISP2
#что бы отвечать через те же интерфейсы, откуда пришли запросы, поставим соответствующую роутинг-марку на каждое соединение.
/ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP1 new-routing-mark=rout_ISP1 passthrough=no
/ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=rout_ISP2 passthrough=no
#добавим default gateway в каждую из промаркированных таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping
/ip route add distance=1 gateway=10.200.1.254 routing-mark=rout_ISP2 check-gateway=ping
#failover через второго провайдера для каждого из шлюзов
/ip route add distance=2 gateway=10.200.1.254 routing-mark=rout_ISP1 
/ip route add distance=2 gateway=10.100.1.254 routing-mark=rout_ISP2 
#используя PPC разделим трафик на две группы по исх. адресу и порту
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:2/0
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:2/1
#добавим default gateway в каждую из промаркированных для LAN трафика таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=lan_out_ISP1 check-gateway=ping
/ip route add distance=1 gateway=10.200.1.254 routing-mark=lan_out_ISP2 check-gateway=ping
#failover через второго провайдера для каждого из шлюзов
/ip route add distance=2 gateway=10.200.1.254 routing-mark=lan_out_ISP1 
/ip route add distance=2 gateway=10.100.1.254 routing-mark=lan_out_ISP2

Вопросов по настройке Hairpin NAT когда включен только один канал - нет. Всё работает.
Когда включается второй канал - ресурс, расположенный в локальной сети, становится недоступен из локальной же сети. Как это победить - я, к сожалению, не совсем понимаю.

Answer 1

[Клёвый Админ]

Расскажите подробнее (а не абстрактно) какой ресурс когда становится недоступен. Если он в локальнй L2 сети, то ему ваши танцы с маршрутами за пределами его L2 сегмента пофиг вообще, он маршрутизатор вообще не использует.

Comments

[Exoskeleton]

Локальный ресурс. Веб-сайт, если конкретнее. Он становится недоступен, при обращении к нему по доменному имени или по внешнему IP (Который настроен на одном из WAN-интерфейсов маршрутизатора), когда я включаю на маршрутизаторе правила PPC:

/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:2/0
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:2/1

[Клёвый Админ]

Exoskeleton: видимо потому что необходимо предварительно (выше) добавить исключение для этого узла или добавить (опять же) выше маркировку коннектов и таблицу именно для него. Потому как логично, что если он у вас торчит через один внешний интерфейс, а вы к нему жёстко идёте через второй - он недоступен (потому как не достижим через интернет).

Т.е. либо делаем Accept в мангле на его dst, либо делаем дубли правил (mark-connect \ mark-route) до него + таблица маршрутизации, либо делаем route filter и приколачиваем для него маршрут.

[Exoskeleton]

Евгений Быченко: Вы можете помочь с формулировкой правил для консоли? У меня пока не очень получается...

[Клёвый Админ]

Exoskeleton: всё же простл =) В самый верх добавляем /ip firewall mangle add dst-address=%IP_YOU_SERVER% action=accept

[Exoskeleton]

Евгений Быченко: добавил /ip firewall mangle add chain=prerouting dst-address=%server_local_ip% action=accept - результата нет.
Игрался со значениями chain, но это также не принесло результата.

Answer 2

[Diman89]

Почему маркируете в input/output? Там ж routing должен быть?

Comments

[Клёвый Админ]

вроде всё верно. На инпуте на каждом интерфейсе маркировка коннектов, на оутпуте для каждой маркировки коннектов новая метка роутинга.