Как пробросить порт в MikroTiK'е, используя нескольких провайдеров?

Question

[ruskella]

Здравствуйте.
Настроил MikroTiK по публикации: geektimes.ru/post/186284 и появилась проблема с пробросом портов, по не приоритетному провайдеру не возвращается ответ (а может и другая проблема), пока не ляжет приоритетный провайдер.

В чём проявляется:
если подключаться RAdmin'ом, то появляется запрос ввода логина и пароля, ввожу, потом логотип RAdmin. Логотип исчезает и всё, рабочего стола нет, по всей видимости, соединение сбросилось.

Аналогичная ситуация и с OpenVPN, там проблема с TLS.

ether1 — быстрое подключение, но VPN висит на ether2 — более медленное подключение, поэтому в маршрутах, дистанция стоит выше (для обычных соединений)

в общем:

/ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; (ISP1)
      chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix="" 

 1    ;;; (ISP 2)
      chain=srcnat action=masquerade out-interface=ether2 log=no log-prefix="" 

 2 I  ;;; USB Modem
      ;;; Huawei not ready
      chain=srcnat action=masquerade out-interface=Huawei log=no log-prefix="" 

 3    ;;; OpenVPN 
      chain=dstnat action=netmap to-addresses=192.168.1.25 to-ports=1194 protocol=udp dst-address-list=Gateway dst-port=1194 log=no log-prefix="" 

 4   ;;; RAdmin
      chain=dstnat action=netmap to-addresses=192.168.1.1 to-ports=4899 protocol=tcp in-interface=ether2 dst-port=4899 log=no 
      log-prefix=""

/ip firewall mangle print where disabled=no
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=mark-connection new-connection-mark=ISP 1 -> Input passthrough=no dst-address=xx.xx.xx.246 in-interface=ether1 
      log=no log-prefix="" 

 1    chain=output action=mark-routing new-routing-mark=ISP 1 passthrough=no connection-mark=ISP 1 -> Input log=no log-prefix="" 

 2    chain=input action=mark-connection new-connection-mark=ISP 2 -> Input passthrough=no dst-address=xx.xx.xx.21 in-interface=ether2 
      log=no log-prefix="" 

 3    chain=output action=mark-routing new-routing-mark=ISP 2 passthrough=no connection-mark=ISP 2 -> Input log=no log-prefix="" 

 4    ;;; T
      chain=prerouting action=mark-routing new-routing-mark=T passthrough=no src-address-list=LocalNet dst-address-list=T-Adresses log=no log-prefix="" 

 5    chain=prerouting action=mark-routing new-routing-mark=Office 1 passthrough=no src-address=192.168.1.0/24 dst-address-list=!LocalNet log=no log-prefix=""

/ip route print where disabled=no 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          xx.xx.xx.1%ether1        10
 1 A S  0.0.0.0/0                          xx.xx.xx.254%...       11
 2 A S  0.0.0.0/0                          xx.xx.xx.1%ether1        10
 3   S  0.0.0.0/0                          xx.xx.xx.254%...       11
 4 A S  0.0.0.0/0                          xx.xx.xx.254%...       11
 5 A S  ;;; ethernet mikrotik
        0.0.0.0/0                          xx.xx.xx.1%ether1         1
 6   S  ;;; ethernet mikrotik
        0.0.0.0/0                          xx.xx.xx.254%...        2
 7 A S  8.8.4.4/32                         xx.xx.xx.254%...        1
 8 A S  8.8.8.8/32                         xx.xx.xx.1%ether1         2
 9 A S  ;;; OVPN
        10.20.30.0/24                      192.168.1.25              1
10 ADC  xx.xx.xx.0/24    xx.xx.xx.21   ether2                    0
11 ADC  xx.xx.xx.0/24      xx.xx.xx.246    ether1                    0
12 ADC  192.168.1.0/24     192.168.1.111   bridge2                   0
13 ADC  192.168.1.0/24     192.168.1.88    bridge2                   0
14 A S  172.27.0.0/16                      192.168.1.25              1
15  DC  192.168.11.0/24    192.168.11.1    Guest                   255

Answer 1

[ТыжСисАдмин]

Посмотрите эту тему на форуме forummikrotik.ru/viewtopic.php?t=5183

Comments

[ruskella]

Спасибо, на выходных сделал изменения, сегодня проверил - работает.

[ТыжСисАдмин]

ruskella: Не за что :)
Вообще частый вопрос, уже даже надоело переписывать одно и то-же, ccылками кидаю :D

[ruskella]

Алексей POS_troi: на этом форуме нашёл тему про провайдеров, но там решение было другое.

Может подскажите по моим вопросам, к комментарию ниже?

Answer 2

[Макс]

Выше правильную ссылку дали. По сути: 1) маркируете соединения на входе. 2) Ставите роут метку 3) добавляете маршрут с нужной роут меткой на нужного провайдера.

Comments

[ruskella]

Спасибо, уже настроил-работает.
Но осталось пара вопросов.
Сейчас
Mangle выглядит так:

0    chain=input action=mark-connection new-connection-mark=ISP 1 -> Input passthrough=no dst-address=xx.xx.xx.246 in-interface=ether1 
      log=no log-prefix="" 

 1    chain=output action=mark-routing new-routing-mark=ISP 1 passthrough=no connection-mark=ISP 1 -> Input log=no log-prefix="" 

 2    chain=input action=mark-connection new-connection-mark=ISP 2 -> Input passthrough=no dst-address=xx.xx.xx.21 in-interface=ether2 
      log=no log-prefix="" 

 3    chain=output action=mark-routing new-routing-mark=ISP 2 passthrough=no connection-mark=ISP 2 -> Input log=no log-prefix="" 


 4    chain=forward action=mark-connection new-connection-mark=in_isp1_for passthrough=no in-interface=ether1 log=no log-prefix="" 

 5    chain=forward action=mark-connection new-connection-mark=in_isp2_for passthrough=yes in-interface=ether2 log=no log-prefix="" 

 6    chain=prerouting action=mark-routing new-routing-mark=ISP 1 passthrough=no src-address=192.168.1/24 connection-mark=in_isp1_for log=no log-prefix="" 

 7    chain=prerouting action=mark-routing new-routing-mark=ISP 2 passthrough=no src-address=192.168.1/24 connection-mark=in_isp2_for log=no log-prefix=""

А вопрос вот какой:
Получается Маркируется трафик input/output - это трафик для самого MikriTiKa, а не для локальной сети, так или я путаю?
А вот forward/prerouting - маркирует трафик для локальной сети, так?

Какой порядок этих правил должен быть в MikroTiK'е, то есть какие правила выше, какие ниже?

Если с input/output более-менее понятно, то как работает связка forward/prerouting.
Идёт пакет в локальную сеть, попадает под правило forward и маркируется и доходит до объекта, а когда объект ответил, то возвращается по цепочке prerouting? или Prerouting для последующих пакетов из интернета в локальную сеть?

[Макс]

ruskella: по input/output верно. Это трафик для/от самого Микротика.
forward - да, это тот трафик который проходит через маршрутизатор, но не предназначен самому маршрутизатору.
Я бы размещал так: правила через которые ходит бОльшее кол-во трафика занимают более высшую позицию. (1,2...)
по моему в версиях 6.32 и выше можно маркирование делать просто в цепочке forward и не обязательно выбирать prerouting. Prerouting назначается потому что трафик идущий от клиента сначала должен получить метку маршрута, а только потом попасть в таблицу маршрутизации.

[ruskella]

Макс: как ходит не знаю, я смотрел на
https://ru.wikibooks.org/wiki/Iptables#.D0.A2.D0.B...
и
https://geektimes.ru/post/186284/#comment_6479948

И всё же мне не совсем понятно:
Если с input/output более-менее понятно, то как работает связка forward/prerouting.
Идёт пакет в локальную сеть, попадает под правило forward и маркируется и доходит до объекта, а когда объект ответил, то возвращается по цепочке prerouting? или Prerouting для последующих пакетов из интернета в локальную сеть?

[Александр Романов]

Откройте mikrotik packet flow v6 и посмотрите. Абсолютно все пакеты проходят prerouting. В нём также живёт dst-nat. После этого принимается решение о маршрутизации и пакет попадает либо в инпут, либо в форвард. Если это инпут – значит, ответ попадает в output, после чего опять принимается решение о маршрутизации. После этого все пакеты попадают в postrouting, где при необходимости претерпевают src-nat, затем очереди.

[ruskella]

Александр Романов: я не совсем понял, эти диаграммы я видел из чего и стало всё более-менее понятно.
Но вот почему маркируется соединение на Forward и далее маркируется Prerouting?

Разве не Postrouting должен быть или тут по разному можно сделать?

[Александр Романов]

ruskella: рассмотрите схему внимательно. Решение о маршрутизации у нас принимается в прероутинге и в аутпуте. Мы метим маршрут ДО принятия решения о маршрутизации, иначе это бессмысленно. Соединения метить без разницы где, но у одного и того же коннекшна в разных цепочках могут быть разные матчеры. Будьте внимательны и осторожны ))

[ruskella]

Александр Романов: что-то я всё равно не до понял... Где можно подробнее об этом узнать?

И про какую схему мы говорим? Адекватную схему видел в вики учебнике по iptables. А у микротика не вижу решений по маршруту.

Кажется понял, мы маркируем forward и input для "отграничения" трафика для микротика и проходящего мимо.
Теперь этот трафик нужно направить (по какому-то маршруту), для этого в prerouting'е / output'е мы используем маркированное соединения и создаём маркировку для маршрута. Ну и используем её при маршрутизации.

Хм... То есть:
Идёт пакет в локальную сеть, попадает под правило forward, маркируется и доходит до объекта, а когда объект ответил, то возвращается по цепочке prerouting?

Так получается?

[Александр Романов]

ruskella: важно понять, что КАЖДЫЙ пакет проходит цепочки в одном и том же порядке. Прилетает к нам пакет на интерфейс - прероутинг-форвард-простроутинг - и улетел в другой интерфейс. С другого интерфейса летит ответ - прероутинг-форвард-построутинг - и улетает обратно. Это если вкратце. Подробно схема движения пакетов рассматривается в курсе MTCTCE.

Answer 3

[Gregory]

а можно пример

Comments

[ruskella]

Пример чего?
Ссылка на настройку 3-х провайдеров, есть у меня в вопросе, по моей проблеме то же есть ответ, ссылка в первом же комментарии