stas_k Posted November 2, 2016 Имеется Mikrotik RB1100AH 1) Имеется интернет аплинк "wan1" Включен в ether1 большой безлимитный канал. дает пачку IP 172.16.4.208 /29 172.16.4.110 172.16.4.111 172.16.4.112 172.16.4.113 172.16.4.114 172.16.4.115 172.16.4.116 и еще девять алиасов 10.1.194.130/30 10.2.138.90/30 ... 10.9.170.87/30 не спрашивайте, не знаю зачем. исторически "тут так заведено". вся инфраструктура построена исходя из. 2) Имеется другой интернет аплинк "wan2" Включен в ether4 один IP 172.31.6.34 3) Имеется LAN Включен в ether2 192.168.0.0 /24 В норме весь исходящий трафик идет через аплинк №1. На пачке IP (dst-nat) висят всякие сервисы, отвечают на запросы. Тут же приходит SIP. Второй аплинк при этом не используется совсем. Человек настраивавший этот микротик, по заветам saab95, купил второй микротик, денег хватило на RB951, настроил LAN 1:1 а wan на второго провайдера и при падении первого, тупо перетыкал шнурок LAN физически. Я завел WAN2 в ether4. добавил IP. дал ему distance=2. Теперь нужно настроить автоматическое переключение. Я начитался про hairpin. один сервис настроил, теперь он стал доступен из локалки по внешнему IP. ------ Задача. Настроить это по взрослому. Вопрос 1. в winbox - firewall - nat у каждого правила есть счетчик пакетов. у правила dst-nat относящемуся к ip адресу wan2 постоянно растет счетчик пакетов (так и должно быть). но сервер то отвечает через wan1. пишут что как то нужно настроить маркирование. настраиваю, но тут же отваливаются l2tp соединения от удаленных офисов, и не поднимаются пока не уберешь маркировку. Вопрос 2. а как без маркировки работают входящие соединения на IP алиасы? там по одному вот такому правилу на порт. add action=dst-nat chain=dstnat dst-address=10.5.114.90 dst-port=999999 protocol=tcp to-addresses=192.168.0.5 to-ports=999999 оно же ответ шлет, по логике, с основного IP? или маскарадинг как то хитро отслеживает алиасы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 3, 2016 (edited) stas_k, про dst-nat и маркировку посмотрите здесь оно же ответ шлет, по логике, с основного IP? или маскарадинг как то хитро отслеживает алиасы? По идее, механизм "connection tracker", должен отслеживать на какой IP пришел запрос и отвечать с него (именно с IP, а не интерфейс). Edited November 3, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted November 3, 2016 Ок. Спасибо. Ясно что для начала нужно обновить firmware маршрутизатора. Продолжу задавать вопросы в понедельник. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
