Почему одно соединение прыгает с одной на другую марку?

Question

[Олег]

Первый раз с таким столкнулся....

/ip firewall address-list
add address=82.198.164.35 list=DITGT

Марк соединения + 2 марки пакетов на ИН и АУТ интерфейсы для дальнейшего использования в дереве очередей.

add action=mark-connection chain=prerouting comment=Ditgt dst-address-list=\
    DITGT new-connection-mark=dgt-conn passthrough=no
add action=mark-packet chain=forward connection-mark=dgt-conn in-interface=\
    GARANT new-packet-mark=dgt-in passthrough=no
add action=mark-packet chain=forward connection-mark=dgt-conn \
    new-packet-mark=dgt-out out-interface=GARANT passthrough=no

После(ниже) него есть такие правила. Они собирают оставшиеся ТCP соединения для отдельной очереди.

add action=mark-connection chain=prerouting comment=OtherTCP \
    new-connection-mark=otherTCP-conn passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=otherTCP-conn \
    in-interface=GARANT new-packet-mark=otherTcp-in passthrough=no
add action=mark-packet chain=forward connection-mark=otherTCP-conn \
    new-packet-mark=otherTcp-out out-interface=GARANT passthrough=no

Как результат


Строки соединения стабильны. Марки хаотично скачут с одной на вторую (dgt-conn/otherTCP-conn)

В чем ошибка?

Спасибо!

Answer 1

[Дмитрий]

Попробуйте добавить к правилам, маркирующим соединения, опцию connection-state=new

Comments

[Олег]

Это не работает. Вообще ни одно соединение не маркируется.
Другие типы дают схожий результат. Часть соединений идет не через нужную мне марку.

[Дмитрий]

На первый взгляд правила вроде верные. Allow Fast Path в IP - Settings включен? Можете показать /ip firewall export полностью?

[Олег]

Дмитрий,

/ip firewall filter
add action=accept chain=input comment=VPN connection-state=new dst-port=\
    500,1701,4500 in-interface=GARANT protocol=udp
add action=accept chain=input comment=\
    "\D3\E6\E5 \EF\F0\EE\E2\E5\F0\E5\ED\ED\FB\E5 \EF\E0\EA\E5\F2\FB" \
    connection-state=established,related log-prefix=ACCEPT___
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="invalid \CF\E0\EA\E5\F2\FB" \
    connection-state=invalid in-interface-list=WAN
add action=drop chain=forward connection-state=invalid in-interface-list=WAN
add action=accept chain=input comment=PING icmp-options=0:8 \
    in-interface-list=WAN packet-size=100 protocol=icmp
add action=accept chain=input comment=WinBox dst-port=8291 in-interface-list=\
    all protocol=tcp src-address-list=admin
add action=accept chain=forward dst-port=8443 protocol=tcp
add action=drop chain=input comment="\C2\F1\E5 \E2\F5\EE\FF\E4\F9\E8\E5 \F1 WA\
    N \CD\E0 \CC\E8\EA\F0\EE\F2\E8\EA" in-interface-list=WAN log-prefix=WG1_
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\
    WAN log-prefix=qqqwww
/ip firewall mangle
add action=mark-connection chain=prerouting comment=game-Ports \
    new-connection-mark=game-conn passthrough=yes protocol=udp src-address=\
    192.168.100.2 src-port=2412,2302
add action=mark-packet chain=forward connection-mark=game-conn \
    new-packet-mark=game-out out-interface=gre-tunnel1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=game-conn \
    new-routing-mark=to-gre passthrough=no protocol=udp src-address=\
    192.168.100.2
add action=mark-connection chain=prerouting comment=game-Query \
    new-connection-mark=gameQ-conn passthrough=yes protocol=udp src-address=\
    192.168.100.2 src-port=2316,2306
add action=mark-packet chain=forward connection-mark=gameQ-conn \
    new-packet-mark=gameQ-out out-interface=gre-tunnel1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=gameQ-conn \
    new-routing-mark=to-gre passthrough=no protocol=udp src-address=\
    192.168.100.2
add action=mark-routing chain=prerouting comment="STEAM to GRE" \
    dst-address-list=STEAM new-routing-mark=to-gre passthrough=no protocol=\
    tcp src-address=192.168.100.2
add action=mark-connection chain=prerouting comment=Ditgt dst-address-list=\
    DITGT new-connection-mark=dgt-conn passthrough=no
add action=mark-packet chain=forward connection-mark=dgt-conn in-interface=\
    GARANT new-packet-mark=dgt-in passthrough=no
add action=mark-packet chain=forward connection-mark=dgt-conn \
    new-packet-mark=dgt-out out-interface=GARANT passthrough=no
add action=mark-connection chain=prerouting comment=Web dst-port=80,443 \
    new-connection-mark=web-conn passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=web-conn in-interface=\
    GARANT new-packet-mark=web-in passthrough=no
add action=mark-packet chain=forward connection-mark=web-conn \
    new-packet-mark=web-out out-interface=GARANT passthrough=no
add action=mark-connection chain=prerouting comment=OtherTCP \
    new-connection-mark=otherTCP-conn passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=otherTCP-conn \
    in-interface=GARANT new-packet-mark=otherTcp-in passthrough=no
add action=mark-packet chain=forward connection-mark=otherTCP-conn \
    new-packet-mark=otherTcp-out out-interface=GARANT passthrough=no
add action=mark-connection chain=prerouting comment=No-mark \
    new-connection-mark=no-mark-conn passthrough=no
add action=mark-packet chain=forward connection-mark=no-mark-conn \
    in-interface=GARANT new-packet-mark=nomark-in passthrough=no
add action=mark-packet chain=forward connection-mark=no-mark-conn \
    new-packet-mark=nomark-out out-interface=GARANT passthrough=no
/ip firewall nat
add action=dst-nat chain=dstnat comment=Gre-to-Lan in-interface=gre-tunnel1 \
    to-addresses=192.168.100.2
add action=src-nat chain=srcnat comment="STEAM to GRE" dst-address-list=STEAM \
    protocol=tcp src-address=192.168.100.2 to-addresses=100.64.1.2
add action=src-nat chain=srcnat dst-address-list=STEAM protocol=udp \
    src-address=192.168.100.2 to-addresses=100.64.1.2
add action=src-nat chain=srcnat comment="ALL UDP to GRE" protocol=udp \
    src-address=192.168.100.2 to-addresses=100.64.1.2
add action=dst-nat chain=dstnat comment=SQL dst-port=3306 log-prefix=\
    SQL_REDIR protocol=tcp to-addresses=192.168.100.2
add action=dst-nat chain=dstnat comment=RDP/VPN dst-port=33899 in-interface=\
    all-ppp protocol=tcp to-addresses=192.168.100.2
add action=dst-nat chain=dstnat comment=SVN dst-port=8443 protocol=tcp \
    to-addresses=192.168.100.2
add action=src-nat chain=srcnat comment="ALL OTHER" src-address=\
    192.168.100.0/24 to-addresses=111.111.111.111

[Дмитрий]

Я думаю, проблема в том, что когда прилетает обратный трафик от промаркированного соединения, микротик не понимает, что это соединение уже промаркировано, и переназначает метку в соответствии с правилом, которому соответствует пакет. Т.е. на исходящий трафик срабатывает то правило, которое ожидалось, на ответный - маркирующее трафик по умолчанию. Чтобы этого не было, должно быть либо условие connection-state=new на всех правилах, маркирущих соединения, либо как вариант, должно быть добавлено условие connection-mark=no-mark ко всем таким правилам. Первый вариант конечно лучше. Соединение должно маркироваться в момент его создания, а не при получении каждого относящегося к нему пакета.