Почему многие ресурсы не работают с Per Connection Classifier?
Проблема актуальна очень давно. Помнятся времена, когда несколько лет назад впервые перевели пользователей на PCC both addresses and ports - ожидаемо возникла масса проблем, both addresses - проблем заметно меньше, но все же достаточно для того чтобы отказаться и перейти обратно на src-address, что по сути не является PCC, а всего лишь автоматизирует процесс распределения пользователей по фиксированным каналам. Месяц назад эксперимент с both address повторили - результат порадовал, но все же порядка 20% пользователей пришлось вернуть обратно на src-address, в связи с жалобами на некорректную работу некоторых ресурсов. Проблема в общем понятна - ресурсы, которые открывают несколько соединений в рамках одного сеанса желают видеть все соединения от одного источника, а если ип-адрес источника меняется - реагируют очень болезненно, работают нестабильно, слетает авторизация и т.п.
Серьезные ресурсы за последние годы сделали очевидный рывок в этом направлении, это радует, но есть и такие, которые похоже, с другой планеты. В частности Госуслуги, Сбербанк-онлайн и другие, которые до сих пор некорректно работают с PCC.
Интересно, есть ли у кого-нибудь опыт в решении этой проблемы?
Сам сейчас разбираюсь с этой проблемой.
Заключается в том, что пакеты приходят через 1 провайдера, а уходят через другого.
В моем случае это ломает только VPN.
Остальные сервисы работают нормально.
Ну это не проблема, при использовании мультиван необходимо маркировать входящие соединения и ставить соответствующие маршрутные метки в цепочке output, чтобы пакеты возвращались туда, откуда пришли.
mazzahaker, навскидку - во всех правилах маркировки соединений у вас нигде нет connection state=new, не видно какие routing marks в /ip routes.
При маркировке соединений должно быть passthrough=yes, при маркировке маршрутов - passthrough=no.
Попробуйте настроить PCC по схожему принципу - сначала маркировать соединения, а далее маршруты.