Шлюз в другой подсети для маркированного трафика недоступен?

Question

[brar]

Два микротика. Соединены GRE-туннелем. Хосты из обеих подсетей (192.168.99.0/24 и 192.168.77.0/24) друг друга видят.
Возникла необходимость перенаправлять http-трафик на squid (192.168.99.55). Добавил в таблицу mangle и в маршруты (c соответствующими изменениями адресов подсетей):

/ip firewall mangle
chain=prerouting action=mark-routing new-routing-mark=web passthrough=yes protocol=tcp src-address=!192.168.99.55 dst-address=!192.168.99.0/24 
      src-address-list=http_to_squid dst-port=80

/ip route
 dst-address=0.0.0.0/0 gateway=192.168.99.55 distance=1 scope=30 target-scope=10 
        routing-mark=web

В родной для squid-сервера подсети все отлично. В подсети 192.168.77.0 статус шлюза unreachable, соотвественно трафик игнорируется.
С самого роутера пинг до 192.168.99.55 идёт. (Да и вообще, файрволы на обоих роутерах выключил временно.)
Насколько я понял в ip routes при создании маршрута нельзя указывать в качестве адреса шлюза, адрес который не принадлежит подсетям существующих на роутере интерфейсов.
Вобщем, вопрос, как правильно перенаправить http-трафик на squid находящийся в другой подсети?
Простой SNAT не нужен, так как в статистике squid будет только один хост - сам squid.

Answer 1

[brar]

В общем разобрался, прочитав в мануале.
Value of gateway can be specified as an interface name instead of the nexthop IP address. Such route has following special properties:
Unlike connected routes, routes with interface nexthops are not used for nexthop lookup.
И так как имел давнюю привычку (для удобства перенстройки адресации) указывать в качестве шлюза до впн-подсетей имя интерфейса, а не IP-адрес, возник такой затык.
В общем, заоаботало как только я изменил:

add distance=1 dst-address=192.168.99.0/24 gateway=l2tp-out1

на

add distance=1 dst-address=192.168.99.0/24 gateway=172.16.1.1

А также изменил значение target-scope=30 в маршруте маркированного трафика до сквида:

add distance=1 gateway=192.168.99.55 routing-mark=http target-scope=30

Всем спасибо.

Answer 2

[satoo]

1. покажите с двух микротиков:
/ip route export
/ip firewall export
2. для маршрутизации вы можете указать в качестве адреса шлюза такой адрес, до которого маршрутизатор имеет непосредственный доступ
3. сквид может до 192.168.77.0/24 подсети ходить?

Comments

[brar]

Mik1 (192.168.77.0/24)

/ip route
add distance=1 gateway=192.168.99.55 routing-mark=web
add distance=1 gateway=$шлюз_прова1
add distance=1 dst-address=192.168.99.0/24 gateway=172.16.0.13/30

Mik2 (192.168.99.0/24)

/ip route
add distance=1 gateway=192.168.99.55 routing-mark=web
add distance=1 gateway=$шлюз_прова2
add distance=1 dst-address=192.168.77.0/24 gateway=172.168.0.14/30

Файрвол все правила выключены на обоих роутерах.
Сквид видит сеть 192.168.77.0. Вобщем, все хосты видят друг друга из обеих подсетей. Оба роутера, также пингуют хосты удаленных подсетей.
Трассировка до сквида из Mik1:

tool traceroute 192.168.99.55
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                                                            
 1 172.16.0.13                        0%    6   2.8ms     2.9     2.7     3.2     0.2                                                                   
 2 192.168.99.55                      0%    6   2.9ms     3.4     2.4     7.7     1.9

172.16.0.13 и .14 - это адреса GRE-интерфейсов.

[satoo]

1. 172.16.0.13/30 это не опечатка? маска у маршрутизатора? сделайте, пожалуйста, именно /export
2. вообще (если не более хитрый случай), если вы хотите перенаправлять траффик на сквид, то вам надо делать dstnat, иначе сквид просто не будет принимать пакет, адресуемый не ему

[brar]

satoo: маску подсети сюда добавил сам, чтобы понятнее было. В общем, сейчас для наглядности удалил кучу всего. оставив, только то, что требеутся и изменил адресацию. (это всё, чтобы не запутать вас, на верхнее не смотрите.) Поехали.
Mik1 LAN-адрес 192.168.77.1
ip route export

/ip route
add check-gateway=ping distance=1 gateway=192.168.99.55 routing-mark=web
add distance=1 dst-address=192.168.99.0/24 gateway=l2tp-out1

ip firewall export

/ip firewall mangle
add action=mark-routing chain=prerouting dst-port=80 new-routing-mark=web protocol=tcp src-address=192.168.77.11
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT_for_home_lan out-interface=ether1-gw src-address=192.168.77.0/24 to-addresses=10.141.170.32

Mik2 LAN-адрес 192.168.99.1
ip route export

/ip route
add distance=1 gateway=192.168.99.55 routing-mark=web
add distance=1 gateway=$шлюз_прова1 #дефолтный маршрут
add distance=1 dst-address=192.168.77.0/24 gateway=l2tp-mikrotik77

ip firewall export

/ip firewall mangle
add action=mark-routing chain=prerouting comment=http dst-address=!192.168.99.0/24 dst-port=80 new-routing-mark=web protocol=tcp src-address=\
    !192.168.99.55 src-address-list=http_to_squid
/ip firewall nat
add action=src-nat chain=srcnat comment="default configuration" out-interface=ether1-gateway src-address=192.168.99.0/24 to-addresses=$шлюз_прова1

Некоторые детали: Мик1 получает от прова серую динамику. Поэтому в экспорте маршрутов ее нет. Вот на всякий случай ip route print detail

0   S  dst-address=0.0.0.0/0 gateway=192.168.99.55 gateway-status=192.168.99.55 unreachable check-gateway=ping distance=1 scope=30 target-scope=10 
        routing-mark=web 

 1 ADS  dst-address=0.0.0.0/0 gateway=10.141.255.254 gateway-status=10.141.255.254 reachable via  ether1-gw distance=0 scope=30 target-scope=10 
        vrf-interface=ether1-gw 

 2 ADC  dst-address=10.141.0.0/16 pref-src=10.141.170.32 gateway=ether1-gw gateway-status=ether1-gw reachable distance=0 scope=10 

 3 ADC  dst-address=172.16.1.1/32 pref-src=172.16.1.2 gateway=l2tp-out1 gateway-status=l2tp-out1 reachable distance=0 scope=10 

 4 ADC  dst-address=192.168.77.0/24 pref-src=192.168.77.1 gateway=bridge1-local gateway-status=bridge1-local reachable distance=0 scope=10 

 5 A S  dst-address=192.168.99.0/24 gateway=l2tp-out1 gateway-status=l2tp-out1 reachable distance=1 scope=30 target-scope=10

Все хосты в обеих подсетях друг друга видят, как уже говорил, роутеры то же видят. HTTP-трафик с хостов локальной сети Мик2 192.168.99.0/24 заворчивается на сквид, то есть тут всё норм работает, как и задумывалось. А вот завернуть http-трафик из локальной сети роутера Мик1 (192.168.77.0/24) не получается. Он тупо недоходит до сквида (tcpdump src host 192.168.77.11 and dst port 80 - молчит).
При этом в логах Мик1 трафик маркируется, но продолжает ходить через сеть провайдера.
И маршрут неактивен