[Smirnovi]

4 часа назад, McSea сказал:

Свой конфиг давайте и опишите, что не работает (адреса маскируйте так, чтобы было понятно, один адрес или разные).

Заработало - огромное спасибо - и именно так как надо )))

потом выложу если хотите 

 

я использовал vrf и  IP - Routes - Rules

[DAF]

2 hours ago, Smirnovi said:

Заработало - огромное спасибо - и именно так как надо )))

потом выложу если хотите 

 

я использовал vrf и  IP - Routes - Rules

Если нетрудно - я бы взглянул на ip/routes/rules+vrf

[Smirnovi]

11 часов назад, DAF сказал:

Если нетрудно - я бы взглянул на ip/routes/rules+vrf

/interface bridge
add fast-forward=no name=bridge-loopback

/ip route
add distance=1 gateway=bridge-loopback
/ip route rule
add action=lookup-only-in-table src-address=ip1 table=lte1
add action=lookup-only-in-table src-address=ip2 table=lte2
/ip route vrf
add interfaces=lte1 routing-mark=lte1
add interfaces=lte2 routing-mark=lte2
 

вот так вот 

пустой бридж с деф гатевеем в никуда нужен чтобы в табличке main изнач был деф маршрут - потом все роутица по правилам

в dhcp клиенте получаем все - даже деф гатевей 

он валица каждый в свою табличку

Изменено 26 октября, 2018 пользователем Smirnovi

[DAF]

спасиб

[McSea]

@Smirnovi 

Хороший способ, я делал без vrf, просто два маршрута с routing-mark, т.к. адреса шлюзов разные и заранее известные, (192.168.8.1 у хуавея e3372  и любой заданный у ZTE 823).

 

[DAF]

Изящное решение, тоже хочу на VRF свой опухший гордурас конфиг переделать но опасаюсь (прадакшн типа)

 

 

rb951G-2HnD 
/ip addr=192.168.10.254/24 int=lan-bridge- (eth 3-5) --------- ~40-50 хостов

 

dhcp-clients  - 3шт к 3 роутерам
addr=192.168.9.254/24 int=vlan1 по lan-bridge ---------------- инет до 150М пров1 белая статика
addr=192.168.0.254/24 int=wan2 (eth1) байпаст1-------------- инет до 20М провайдерская локалка 10.39.х.х/24 некоторые ВПН в ней 
addr=172.16.0.254/24 int=wan3 (eth2) байпаст2 -------------100M TP-Link в инет до 50М пров2 PC-based proxy
    
/ip firewall nat
add action=src-nat chain=srcnat out-interface=vlan1 to-addresses=192.168.9.254
add action=src-nat chain=srcnat out-interface=wan2 to-addresses=192.168.0.254
add action=src-nat chain=srcnat out-interface=wan3 to-addresses=172.16.0.254
add action=src-nat chain=srcnat out-interface=all-ppp to-addresses=10.11.12.254

 

/ip route
add check-gateway=arp distance=1 gateway=192.168.9.1
add check-gateway=arp distance=2 gateway=192.168.0.1
add check-gateway=arp distance=3 gateway=172.16.0.1

add distance=1 gateway=192.168.0.1 routing-mark=w2
add distance=1 gateway=172.16.0.1 routing-mark=w3

 

/ppp profile
set only-one=yes use-compression=no use-encryption=no use-mpls=no use-upnp=no add change-tcp-mss=yes local-address=10.11.12.254

/ppp secret
add name=test  profile=vpn remote-address=10.11.12.100 service=pptp
add name=kee  profile=vpn remote-address=10.11.12.212 service=pptp
add name=nex profile=vpn remote-address=10.11.12.234 routes="10.30.20.0/24 10.11.12.234 1, 192.168.11.0/24 10.11.12.234 1" service=l2tp
add name=nai profile=vpn remote-address=10.11.12.242 routes="192.168.8.0/24 10.11.12.242 1"  service=ovpn
add name=klp  profile=vpn remote-address=10.11.12.241 routes="172.17.72.0/24 10.11.12.241 1, 10.0.26.0/24 10.11.12.241 1" service=ovpn
add name=ngr  profile=vpn remote-address=10.11.12.213 routes="192.168.2.0/24 10.11.12.213 1" service= pptp
add name=viz  profile=vpn remote-address=10.11.12.244 routes="192.168.7.0/24 10.11.12.244 1" service=ovpn
add name=las  profile=vpn remote-address=10.11.12.214 routes="192.168.4.0/24 10.11.12.214 1" service= pptp
add name=xyz  profile=vpn remote-address=10.11.12.243 routes="10.10.17.0/24 10.11.12.243 1" service= ovpn
add name=sus  profile=vpn remote-address=10.11.12.210 routes="192.168.1.0/24 10.11.12.210 1" service=pptp
add name=x86  profile=vpn remote-address=10.11.12.245 routes="192.168.5.0/24 10.11.12.245 1, 192.168.82.0/24 10.11.12.245 1, 192.168.88.0/24 10.11.12.245 1, 192.168.201.0/24 10.11.12.245 1, 192.168.202.0/24 10.11.12.245 1" service=ovpn

/ip route
add comment="nah" distance=249 dst-address=10.0.0.0/8 type=blackhole
add comment="nah" distance=249 dst-address=172.16.0.0/12 type=blackhole
add comment="nah" distance=249 dst-address=192.168.0.0/16 type=blackhole

 

скрипт раз в 3 мин тестит и дропит неактивные РРР, и потерявшие ВПН-связность хосты

те остаются без роутов и не гадят покетами в Инет (а в blackhole)
 

/sys script
:local pppTest value=[/ppp active find];
:local pingNumber value=5;
:local pingMin value=2;
:foreach userTest in=$pppTest do={
 :local pingOk value=[:ping [/ppp active get $userTest value-name=address] count=$pingNumber]
 :if ($pingOk < $pingMin) do={
  :log warning message=([/ppp active get $userTest value-name=service] . " auto disconnected: ". $pingOk . " ping ok over " . $pingNumber . " " . [/ppp active get $userTest value-name=name] . " " . [/ppp active get $userTest value-name=address])
  /ppp active remove $userTest
 }
};
 

/interface sstp-client
add authentication=mschap2 connect-to=к домашнему МТ disabled=no name=beg  pfs=yes user=rdn verify-server-address-from-certificate=no

=============My-Home-MTik
/int sstp-server

/tool netwatch
add down-script="/log warning message=\"beg reconnect \" 
/int set [ find name=beg ] dis=yes
:delay 1;
/int set [ find name=beg ] dis=no 
host=10.11.12.1 interval=3m

Изменено 26 октября, 2018 пользователем DAF

[DAF]

УПС... Только сейчас дошло, что в чужую тему портянку неслабую затащил.

Ув. Т.С. Если напрягает -уберу, но вроде заботы у нас вельма схожи.

[Smirnovi]

а что надо та?

врф нужен или если диапазоны пересекаюца 

или если нехочеца привязываца к статик роутам в случае смены маршрута у провайдера

 

вот мой первоисточник 

 

но он неправ относительно доступности самого микрота с настройкой врф из внешних сетей 

все доступно

 

и еще есть два момента относительно vrf route leaks

и возможно будет доступен извне mac server 

с этим я не уверен смотрите вики микрота

Изменено 26 октября, 2018 пользователем Smirnovi