Как сделать роутинг?

Question

[Кирилл 1]

Роутер микротик vlan 1 192.168.11.1/24
так же на нем vlan 2 172.16.1.1/24
в этой сети есть роутер на котором сконфигурирован интерфейс 172.16.1.100/24 gw 172.16.1.1
в mangle помечаю запросы из сети 192.168.11.0/24 адресованные сети 37.6.64.250 это routing mark net1 и в ip / routers направлять на шлюз 172.16.1.100 с routing mark net1 все ок проходит, отлично, работает.
Далее в сеть 192.168.11.0/24 добавляется роутер на котором сконфигурирован интерфейс 192.168.11.24/24 gw 192.168.11.1 и так же в mangle помечаю запросы из сети 192.168.11.0/24 адресованные сети 37.130.189.244 routing mark net2 направлять на 192.168.11.24 с routing mark net2 и тут перестает работать выше перечисленное первое правило, т.е те пакеты которые должны ходить на 172.16.1.100 они заворачиваются на 192.168.11.24 , где я лажаю подскажите ?

Answer 1

[Клёвый Админ]

херня какая-то, вы хотите чтобы из сети 192.168.11.0/24 к вам на роутер приходил трафик и вы его роутили обратно на шлюз в этой же сети? Если да, то вам нужен NAT, ибо марш, который получит трафик из своей сети отправит ответы на него напрямую на тот комп что его инициировал, но тот комп не отправлял пакеты на этот марш, он их ждёт от микротика. Вот и получается, что если не замаскируете пакеты у вас получается не замкнутое кольцо трафика.

Исходящий
192.168.11.X - > 192.168.11.1 (route mark - route rule; GW = 192.168.11.24) -> 192.168.11.24 - > HOP - > 37.130.189.244
Обратный
37.130.189.244 - > HOP - > 192.168.11.24 -> 192.168.11.X и вот тут то и облом.

Comments

[Кирилл 1]

Да, вы правы, переломной стала такая задача, вот я и решил её обсудить т.к у меня не вышло её решить, спасибо,

[Клёвый Админ]

Кирилл 1: ок =) wiki.mikrotik.com/wiki/Hairpin_NAT - это то что вам нужно (чтобы заработало). Или вводите промежуточную сеть между этими двумя маршами.

[Кирилл 1]

Евгений Быченко: я попробую применить данную рекомендацию, но думаю лучше что бы переконфигурировать удалённый интерфейс роута и перевести в отдельную сеть, так будет лучше, наверное.

[Клёвый Админ]

Кирилл 1: ну вот я про промежуточную сеть и говорю. Это действительно лучшее =) Можете просто на микроитике и на роутере назначить по доп IP адресу на интерфейсы (и использовать его в маршруте) и всё заработает.

[Кирилл 1]

Евгений Быченко: не выйдет, т.к другой роутер принадлежит не мне, так что попрошу что бы переконфигурировали интерфейс,

Answer 2

[Дмитрий Бубнов]

А фаервол и роутинг посмотреть можно? Скорее всего роутинг-марк не туда прописали.

Comments

[Кирилл 1]

ну то что в первом варианте с net1 это из сети 192.168.11.0/24 разрешено бегать в 172.16.1.100, а во втором варианте второй роутер находится в одной же сети что и основной роутер т.е в сети 192.168.11.0/24 или я Вас не правильно понял ?

[Дмитрий Бубнов]

Именно конфигурацию. Скрином из винбокса или текстом из консоли

Answer 3

[Кирилл 1]

Дмитрий Бубнов

в mangle

;;; Ser1
chain=prerouting action=mark-routing new-routing-mark=net-1
passthrough=yes src-address=192.168.11.0/24 dst-address-list=Server-list-1
in-interface=local1 log=no log-prefix="

;;; Ser2-NEW-HOST
chain=prerouting action=mark-routing new-routing-mark=net-2
passthrough=yes src-address=192.168.11.0/24 dst-address-list=Server-list-2
in-interface=local1 log=no log-prefix=""

в роутах

Comments

[Дмитрий Бубнов]

Сначала нужно mark connection сделать, а потом на основе коннекшн-марка маркировать роутинг. У Вас только исходящий трафик маркируется.

[Кирилл 1]

Дмитрий Бубнов: т.е ? можно подробнее ? а так же про исходящий , мне и надо метить исходящий или вы о том что куда был отправлен от туда и получать ? если можно то с примером....спасибо...

[Дмитрий Бубнов]

Кирилл 1: тут, раздел про PPC habrahabr.ru/post/244385

[Кирилл 1]

Дмитрий Бубнов: я так понял вы об этом ?

#Пометим каждое соединение пришедшее снаружи и адресованное нашему роутеру:
/ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=cin_ISP1
/ip firewall mangle add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=cin_ISP2
#что бы отвечать через те же интерфейсы, откуда пришли запросы, поставим соответствующую роутинг-марку на каждое соединение.
/ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP1 new-routing-mark=rout_ISP1 passthrough=no
/ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=rout_ISP2 passthrough=no

[Дмитрий Бубнов]

Кирилл 1: да, именно. Не скажу точно, но, думаю, что роутинг марки должны вешаться на маркированные коннекшены, а не просто на пакеты. Получается, у Вас трафик, который прилетел на первый внешний интерфейс, не знает, что ему нужно туда же вылететь. И так же со вторым внешним.

[Кирилл 1]

Дмитрий Бубнов: ок, попробую применить, отпишусь позже...