Как разделить две внешние статики на две внутренние подсети?

Question

[Modrik]

Суть вопроса. Имеется Mikrotik RB951G-2HnD и на его первый порт (Ether1) приходит интернет от провайдера, который дает нам две статики по одному кабелю. Внутри микротика есть два бриджа Bridge1 и Bridge_Sec и соответственные их сети: 192.168.0.0/24 и 192.168.3.0/24. Раньше когда провайдер давал статику из разных сетей (a.b.c.1 и b.c.a.1) проблем не было, ибо посредством маркировки пакетов (mangle Prerouting) и политики роутинга (PBR) все это дело нормально увязывалось - первая статика было отдана 192.168.0.0/24, а вторая 192.168.3.0/24. Но теперь провайдер изменил свою структуру и нам дается две статики в одной сети (a.b.c.17/32 и a.b.c.18/32 в сети a.b.c.0/24 со шлюзом a.b.c.1/32). И сразу я увы не заметил что все перестало работать... Т.е. теперь все (обе внутренние подсети) сидят с a.b.c.17. Если же в IP-Adresses отключить a.b.c.17 то тут же все начинают работать с a.b.c.18.

Прошу советов ваших по данной ситуации.

Ниже приведен текущий листинг настроек (Маршруты для разделения пока что специально отключены):
Таблица маршрутов:

Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 X S  ;;; DD_routing
        dst-address=0.0.0.0/0 pref-src=a.b.c.17 gateway=a.b.c.1 
        gateway-status=a.b.c.1 inactive distance=1 scope=30 target-scope=10 
        routing-mark=DD 

 1 X S  ;;; DD_SEC_IP_Routing
        dst-address=0.0.0.0/0 pref-src=a.b.c.18 gateway=a.b.c.1 
        gateway-status=a.b.c.1 inactive distance=1 scope=30 target-scope=10 
        routing-mark=DD_SEC_IP 

 2 A S  ;;; Default Route
        dst-address=0.0.0.0/0 gateway=a.b.c.1 
        gateway-status=a.b.c.1 reachable via  ether1-gatewayDD distance=1 scope=30 
        target-scope=10 

 3 ADC  dst-address=192.168.0.0/24 pref-src=192.168.0.10 gateway=bridge-local 
        gateway-status=bridge-local reachable distance=0 scope=10 

 4 ADC  dst-address=192.168.3.0/24 pref-src=192.168.3.10 gateway=bridge1_sec 
        gateway-status=bridge1_sec reachable distance=0 scope=10 

 5 ADC  dst-address=a.b.c.0/24 pref-src=a.b.c.17 gateway=ether1-gatewayDD 
        gateway-status=ether1-gatewayDD reachable distance=0 scope=10

Таблица политик роутинга:

Flags: X - disabled, I - inactive 
 0   dst-address=192.168.0.0/24 action=lookup table=main 

 1   dst-address=192.168.3.0/24 action=lookup table=main 

 2   dst-address=a.b.c.18/32 action=lookup table=main 

 3   dst-address=a.b.c.17/32 action=lookup table=main 

 4   src-address=a.b.c.17/32 action=lookup table=DD 

 5   src-address=a.b.c.18/32 action=lookup table=DD_SEC_IP 

 6   routing-mark=DD action=lookup table=DD 

 7   routing-mark=DD_SEC_IP action=lookup table=DD_SEC_IP

Таблица Мангла (маркировщика):

Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=prerouting action=mark-routing new-routing-mark=DD passthrough=no src-address=192.168.0.0/24 log=no log-prefix="" 

 1    chain=prerouting action=mark-routing new-routing-mark=DD_SEC_IP passthrough=no src-address=192.168.3.0/24 log=no log-prefix=""

Таблица адресов(IP-Adresses):

Flags: X - disabled, I - invalid, D - dynamic 
 0   address=192.168.0.10/24 network=192.168.0.0 interface=ether2-master-localSKLAD actual-interface=bridge-local 

 1   address=a.b.c.17/24 network=a.b.c.0 interface=ether1-gatewayDD actual-interface=ether1-gatewayDD 

 2   ;;; DOP_ip
     address=a.b.c.18/24 network=a.b.c.0 interface=ether1-gatewayDD actual-interface=ether1-gatewayDD 

 3   ;;; Security
     address=192.168.3.10/24 network=192.168.3.0 interface=ether5-slave-localSECURITY actual-interface=bridge1_sec

PS: Текущая версия RouterOS - 6.35rc31

Answer 1

[Александр Романов]

src-nat – наше всё.

/ip firewall nat
add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1-gateway action=src-nat to-address=a.b.c.17
add chain=srcnat src-address=192.168.3.0/24 out-interface=ether1-gateway action=src-nat to-address=a.b.c.18