modnyman Posted February 25, 2017 (edited) Представим ситуацию: Есть 2 аплинка. Локальные пользователи натятся в оба канала (алгоритм разброса не важен). Есть 2 таблицы маршрутизации, с файловерами. В чём встает вопрос: Сейчас у многих провайдеров есть свои гуглкеши итд итп. Желание их использовать принуждает днс запросы направлять именно на серверы провайдера через которого локальный пользователь смаршрутизировался согласно балансировке. Дело не хитрое: Пользователям раздали вместо днсов 2 фейковых адреса. Отмаркировали в мангл прероутинге и отправили исходящий трафик в нужную таблицу маршрутизации. Согласно Packet_Flow_v6 цепочка дстнат обрабатывается после прероутинга. Ну и отлично, согласно окраске трафика сделали 4 правила нетмапа (по 2 на днс адреса аплинка со своих 2 фейковых). Ну и на выходе они ещё и срцнат сделали. Всё казалось бы отлично - само разбалансировалось, у днс запросов подменяется как назначение (для подстановки нужных днсов), так и источник (срцнат). НО Как только упадет какой-то из аплинков - днс запросы всех с упавшего, будут пропрежнему мапиться в днсы упавшего, но по факту вылетать с неупавшего. Естественно на них никто и не ответит. Задача: Делать срц нат и дст нат после routing decision (мое предположение что именно после него). Срц нат раньше делать нельзя я так понимаю (опять же не отработает файловер и много чего необходимого в форвард). Но и нетмап становится необходимо перенести в цепочку срц нат. Вопрос: Можно ли как-то это сделать? Модно ли примерить одновременно и нетмап и маскарад в цепочке срц нат? 2 экшна я так понимаю нельзя применить к пакету в таблице нат. В других цепочках то что необходимо сделать - сделать нельзя. Единственное за что можно зацепиться - не доконца понимаю все экшны в цепочках нат... Есть у кого идеи как такое провернуть? Или может есть более элегантные способы. Наскриптить не предлагайте, сам напишу, но это будет наипоследнейшим вариантом. Edited February 25, 2017 by modnyman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
modnyman Posted February 28, 2017 Никто не подскажет? Даже Saab не предложит поставить 2 микротика?)) Не, ну серьезно... Может замудрено сильно описал... Вопрос коротко состоит в том, моно ли каким либо способом применять 2 действия к пакету (нетмап и срцнат) после определения маршрута (а точнее интерфейса, через который пакет выйдет с маршрутизатора)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 28, 2017 Вам надо поставить 2 микротика любых и настроить на них ДНС на раздачу. Каждый из микротиков пускаете в интернет по своему каналу - это у вас работает. Вешаете на эти микротики серые IP, которые и выдадите тем абонентам, которые через эти каналы идут. Соответственно запросы на ДНС пойдут по стандартной балансировке на нужного провайдера, если связь с ним пропадет, то запросы автоматически перейдут на оставшегося, только и всего. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
