RouterOS — как осуществить маркировку трафика?

Question

[dmsn]

Вечер добрый.

Имеется два офиса, между ними pptp-туннель. В каждом из зданий свой провайдер.
В здании "A" провайдер предоставляет почтовые сервисы для своих клиентов, причем предоставляет их только из своей подсети, используя другую точку подключения не возможно подключиться к его pop3/smtp сервисам.

Часть рабочих станций уехало из здания "A" в здание "B" - соответственно почтовые сервис им стал недоступен. Задача - вернуть доступность сервиса.

Имеем 2 маршрутизатора Mikrotik CCR1016-12G с RouterOS v. 6.1 на каждой из точек.
На точке "B" создаю правило маркировки трафика в направление pop3/smtp-сервисов, а так же правило лога, маршруты, в которых говорю что трафик имеющий вышеуказанный маркер надо слать через туннель.

В точке "А" создаю правило лога почтового трафика пришедшего из туннеля, так же создаю правило лога на выходном интерфейсе.
Из здания "B" подключаюсь telnet'ом к 25 порту провайдерского сервера, вижу по логам что трафик завернуло в туннель, на роутере "А" вижу что из туннеля он вышел, пошел на внешний интерфейс.

Создал еще 1 правило на внешнем интерфейсе, с помощью которого видно что сервис отвечает.

И вот, собственно, вопрос, как бы мне отмаркировать входящий трафик с сервера провайдера, который предназначается для офиса "B"? Весь почтовый трафик заправлять в туннель, естественно, нельзя.

Буду рад любому совету.
Заранее благодарен, Константин.

Answer 1

[nimbo]

побоюсь быть неадекватным, но: input -> Source ip (адреса pop3\smtp серверов) -> маркировка -> заворачиваем в pptp на офис Б?

Answer 2

[Кирилл Васильев]

маркируйте forward коннекты из туннеля то сервиса, только по нужным портам
и для этих коннектов делаете марикровку маршрутов
т.е выглядеть это будет слудующим образов

[admin@Home.siscomputers.ru] /ip firewall mangle> pr
Flags: X - disabled, I - invalid, D - dynamic 
 0 I chain=forward action=mark-connection new-connection-mark=Office-B-mail passthrough=no protocol=tcp in-interface=PPTP(Ваш офис) out-interface=ether2 (Ваш провайдер)
     dst-port=25,110,995 

 1   chain=preroutingaction=mark-routing new-routing-mark=ROUTE OFFICE B passthrough=no in-interface=ether2(Ваш провайдер) connection-mark=Office-B-mail

Answer 3

[dmsn]

Спасибо за ответ, решил задачу так: конечные точки pptp 192.168.x.100 на одной стороне и 192.168.y.100 на другой соответсвенно. На стороне Y которая является потребителем ряда сервисов через шлюз стороны X сделал логирование и маркировку, создал маршрут для маркированного трафика через туннель. На стороне X просто написал что все что пришло со стороны 192.168.y.100 по заданным параметрам надо логировать и NATить на провайдера. Затык был именно в NAT. Всем спасибо за советы, ценно.