Как настроить доступ извне на Mikrotik по 2 провайдерам?

Question

[ASKEL]

Приветствую!

Изучил кучу мануалов. Перечитал статьи. Не работает как необходимо. Проблема в следующем:

Есть CRS109-8G-1S-2HnD. В него входят 2 провайдера. Первый сразу отдает статический внешний IP Mikrotik. Второй также статический внешний, но на уровне железа провайдера (МГТС). Просто IP который отдается Mikrotik входит в DMZ на оборудовании провайдера.

Добавил маркировку входящих пакетов. Добавил маркировку исходящих. Добавил маршруты для маркированных пакетов. Однако по прежнему трафик пришедший по второму провайдеру(МГТС) уходит по маршруту первого провайдера. А счетчик chain=output action=mark-routing new-routing-mark=ISP2-output passthrough=no connection-mark=ISP2-input Остается пустым. Причем подобный для первого стабильно увеличивается.

Пытаюсь настроить на примере 5555 порта который пробросить хочу наружу и чтобы он был доступен и с 1 и со 2 провайдера.

Кто может подсказать что неверно настроено? Прочитал уже много чего, не могу понять и найти причину.

> ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=prerouting action=passthrough protocol=tcp src-port=5555 log=no log-prefix="" 
 1    chain=prerouting action=passthrough protocol=tcp in-interface=ether-gateway-1 src-port=5555 log=no log-prefix="" 
 2    chain=prerouting action=passthrough protocol=tcp in-interface=ether-gateway-2 src-port=5555 log=no log-prefix="" 
 3    chain=input action=passthrough protocol=tcp src-port=5555 log=no log-prefix="" 
 4    chain=input action=passthrough protocol=tcp in-interface=ether-gateway-1 src-port=5555 log=no log-prefix="" 
 5    chain=input action=passthrough protocol=tcp in-interface=ether-gateway-2 src-port=5555 log=no log-prefix="" 
 6    chain=forward action=passthrough protocol=tcp src-port=5555 log=no log-prefix="" 
 7    chain=forward action=passthrough protocol=tcp in-interface=ether-gateway-1 src-port=5555 log=no log-prefix="" 
 8    chain=forward action=passthrough protocol=tcp in-interface=ether-gateway-2 src-port=5555 log=no log-prefix="" 
 9    chain=postrouting action=passthrough protocol=tcp src-port=5555 log=no log-prefix="" 
10    chain=postrouting action=passthrough protocol=tcp out-interface=ether-gateway-1 src-port=5555 log=no log-prefix="" 
11    chain=postrouting action=passthrough protocol=tcp out-interface=ether-gateway-2 src-port=5555 log=no log-prefix="" 
12    chain=output action=passthrough protocol=tcp src-port=5555 log=no log-prefix="" 
13    chain=output action=passthrough protocol=tcp out-interface=ether-gateway-1 src-port=5555 log=no log-prefix="" 
14    chain=output action=passthrough protocol=tcp out-interface=ether-gateway-2 src-port=5555 log=no log-prefix="" 

15    ;;; ISP2
      chain=prerouting action=mark-connection new-connection-mark=ISP2-input passthrough=no in-interface=ether-gateway-2 log=yes log-prefix="mcp2" 
16    ;;; ISP2
      chain=output action=mark-routing new-routing-mark=ISP2-output passthrough=no connection-mark=ISP2-input log=no log-prefix="" 
17    ;;; ISP1
      chain=prerouting action=mark-connection new-connection-mark=ISP1-input passthrough=no in-interface=ether-gateway-1 log=no log-prefix="" 
18    ;;; ISP1
      chain=output action=mark-routing new-routing-mark=ISP1-output passthrough=no connection-mark=ISP1-input log=no log-prefix=""

@MikroTik] > ip firewall nat print   
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; Gateway - Main
      chain=srcnat action=masquerade out-interface=ether-gateway-1 log=no log-prefix="" 
 1    ;;; Gateway - Reserve
      chain=srcnat action=masquerade out-interface=ether-gateway-2 log=no log-prefix="" 
 2    ;;; Web
10    ;;; SoftEther VPN
      chain=dstnat action=netmap to-addresses=192.168.7.29 to-ports=5555 protocol=tcp in-interface=ether-gateway-1 dst-port=5555 log=no log-prefix="" 
11    ;;; SoftEther VPN - Reserve
      chain=dstnat action=netmap to-addresses=192.168.7.29 to-ports=5555 protocol=tcp in-interface=ether-gateway-2 dst-port=5555 log=no log-prefix=""

@MikroTik] > ip route print          
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          192.168.100.1             5
 1 A S  0.0.0.0/0                          78.107.232.1              5
 2 A S  ;;; ISP1
        0.0.0.0/0                          78.107.232.1             10
 3   S  ;;; ISP2
        0.0.0.0/0                          192.168.100.1            30
 4 A S  ;;; GOOGLE
        8.8.4.4/32                         78.107.232.1              1
 5 ADC  78.107.232.0/21    78.107.XXX.XXX  ether-gateway-1           0
 6 ADC  192.168.7.0/24     192.168.7.1     bridge-local              0
 7 ADC  192.168.100.0/24   192.168.100.7   ether-gateway-2           0

Настроен для Routing Mark ISP2-output
0 A S 0.0.0.0/0 192.168.100.1 5
Настроен для Routing Mark ISP1-output
1 A S 0.0.0.0/0 78.107.232.1 5

Answer 1

[Клёвый Админ]

action=passthrough

Что, простите? Это в какой документации вы такое прочитали?

Непонятные правила, с непонятно откуда взявшимися src-port, вы зачем это городите? Вам если нужен проброс портов через провайдера - дак вы его отдельно сделайте в NAT, но для начала настройте нормально, _по гайдам_ (не знаю как ещё крупнее выделить этот пункт) маршрутизацию.

Ну и чтоб закрепить

action=passthrough

значит буквально следующее - трафик посчитать, ничего с ним делать не нужно, пропустить дальше.

Comments

[ASKEL]

Все верно. Для подсчета.
Чтобы увидеть как ходят пакеты и было это добавлено.

Насчет настройки по гайдам, это и было проведено. Сейчас уже добавлены дополнения, чтобы понять почему не работает.

Согласно этим счетчикам, которые не по гайдам, нарисовалась картинка. По которой видно что микротик, получает трафик, пробрасывает его внутрь через НАТ. А вот вернуть пытается через основного провайдера.

[Клёвый Админ]

ASKEL: а где увидеть текущие конфиги?

[ASKEL]

Клёвый Админ: С дополнениями, в виде passthrough, я и прислал

Answer 2

[Кирилл Васильев]

Два провайдера, для начало вот vasilevkirill.com

Comments

[pr0l]

тогда пиши вторую часть или кидай ссылку на гиктаймс где твоя статья про 3-х провайдеров)

[ASKEL]

Настроено по этому принципу и было. На гиктаймесе статью про 3 провайдеров, я также брал за основу.