Mikrotik Mangle, 3 ip адреса на одном порту?

Question

[Владислав]

Провайдер дает 3 внешних адреса : 1.1.1.1; 2.2.2.1; 3.3.3.1
Необходимо:
1 адрес выделить для пользователей 192.168.0.0/24 в интернет;
2 адрес выделить под почтовый сервер с ip 192.168.0.15
3. адрес выделить под gre-туннели
Как нужно настроить маркировку?

Вот что прописано в Mangle:
0 chain=input action=mark-connection new-connection-mark=gre-in
passthrough=no dst-address=2.2.2.1 in-interface=eth1
log=no log-prefix=""
1 chain=output action=mark-routing new-routing-mark=gre-out
passthrough=no connection-mark=gre-in log=no log-prefix=""
2 chain=input action=mark-connection new-connection-mark=mail-in
passthrough=no dst-address=3.3.3.1 in-interface=eth1
log=no log-prefix=""
3 chain=output action=mark-routing new-routing-mark=mail-out
passthrough=no connection-mark=mail-in log=no log-prefix=""

И маршруты соответственно:
0 A S dst-address=0.0.0.0/0 gateway=1.1.1.2
gateway-status=1.1.1.2 reachable via eth1
check-gateway=arp distance=1 scope=30 target-scope=10
1 A S dst-address=0.0.0.0/0 gateway=2.2.2.2
gateway-status=2.2.2.2 reachable via eth1
check-gateway=arp distance=1 scope=30 target-scope=10
routing-mark=gre-out
2 A S dst-address=0.0.0.0/0 gateway=3.3.3.2
gateway-status=3.3.3.2 reachable via ether1 check-gateway=arp
distance=1 scope=30 target-scope=10 routing-mark=mail-out

И в результате исходящий gre траффик почему-то идет через маршрут 1.1.1.2. Подскажите что еще нужно добавить в Mangle.

Answer 1

[Клёвый Админ]

Не вижу у вас в маршрутных таблицах указания параметра pref-src. Без него маршрутизатор будет отсылать пакеты исходящей цепочки от наименьшего адреса.
Так же для условия 1 и 2 нужно создать SRC NAT правила, но думаю вы это и так сделали.

Comments

[Владислав]

Да, src-nat есть, в pref-src что нужно указывать?

[Клёвый Админ]

Владислав: для каждой таблицы нужно указать тот исходящий адрес, какой вы хотите использовать.

pref-src (IP; Default: "") : Which of the local IP addresses to use for locally originated packets that are sent via this route. Value of this property has no effect on forwarded packets. If value of this property is set to IP address that is not local address of this router then the route will be inactive. If pref-src value is not set, then for locally originated packets that are sent using this route router will choose one of local addresses attached to the output interface that match destination prefix of the route.

[Владислав]

То есть вот так: 0 A S dst-address=0.0.0.0/0 gateway=1.1.1.2
gateway-status=1.1.1.2 reachable via eth1 pref.src=1.1.1.1

[Владислав]

При отключении маршрута: 0 A S dst-address=0.0.0.0/0 gateway=1.1.1.2
gateway-status=1.1.1.2 reachable via eth1 pref-src=1.1.1.1
gre тунели "падают"

[Клёвый Админ]

Владислав: не понял, поясните. при отключении этого маршрута GRE не работает? А должно? У вас точно в свойствах туннелей используются верные локальные и удалённые адреса? (там два параметра они должны быть заданы соответственно)

[Владислав]

Да при отключении это маршрута GRE не работает. Да точно указаны именно адреса для GRE-туннелей.

[Клёвый Админ]

Владислав: скриншоты бы тогда. А то непонятно куда копать.

[Владислав]

Скриншоты к сожалению сюда не могу выложить.

[Владислав]

Скриншоты выложил

[Клёвый Админ]

Владислав: Влад, света не добавилось. Если сам не докопаешься - стучи в скайп, будет время помогу.

[Владислав]

Евгений Быченко: Ок, как докопаюсь отпишу в чем дело)

[Владислав]

Значит так, Mangle нужен для маркировки и роутинга пакетов с РАЗНЫХ интерфейсов. Если на один интерфейс приходит несколько внешних ip макрировать их не нужно, пакеты через эти ip будут ходить. Разруливать эти ip нужно исключительно через NAT, причем обязательно в SRC NAT указывать Src. Address, иначе как в моем случае весь траффик будет заворачиваться в этот IP и как в моем случае GRE-туннели пытались строиться с другого ip, несмотря на то что указано в параметрах GRE Local Address

[Клёвый Админ]

Владислав: ну слушай, не хочу спорить, но мангл он как бы работает на всём трафике (это видно на схеме) wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 и он выполняет свою функцию - обработать трафик, перед (или после) применением политик маршрутизации или фильтра файрфола.
Нат это всё же про другое - это про изменить в пакете заголовки l3.
А роутинг - это про то в какой интерфейс и от имени какого адреса пакет нужно отправить.

Твоя задача сводится как раз к тому что нужно обработать трафик на входе, потом направить его от определённого интерфейса.
Понятно что NAT тоже нужен, но только для одной из задач в твоём кейсе.

[Владислав]

Евгений Быченко: В моем кейсе просто очень много всего маркировать придется, так как туннелей десятки.

[Владислав]

Евгений Быченко: Надо делать input output и еще forward и для всех сетей которые ходят через туннели, это очень большой объем конфигурации. Оптимальней настроить NAT.

[Клёвый Админ]

Владислав: ну тебе виднее. Просто нат - это измение самого пакета, а мангл - это работа над метаинформацией о соединении, первое жрёт больно дофига ресурсов.