перенаправить трафик,ОС Mikrotik

g7001 · May 7, 2010

Есть два Gateway.

1)на который идет весь трафик

2)на который нужно зарульить 3 подсети.

Допустим нужно зарулить подсеть 1.0.0.0/15 на 2-й шлюз.

Маркирую пакеты идущие на 1.0.0.0/15

chain=prerouting action=mark-routing new-routing-mark=1.0.0.0/15 passthrough=no dst-address=1.0.0.0/15

Теперь создаю правило маскарадинга на интерфейс смотрящий на нужный шлюз,ether3.

chain=srcnat action=masquerade routing-mark=1.0.0.0/15 out-interface=ether3

Пакеты маркирует,а Натить не хочет. Гонит через первый шлюз.

Подскажите что делаю не так?

Edited May 7, 2010 by g7001

martin74 · May 7, 2010

может не "на 1.0.0.0/15" а "с 1.0.0.0/15" ?

martini · May 7, 2010

mangle

chain=prerouting action=mark-routing new-routing-mark=1.0.0.0/15 passthrough=no src-address=1.0.0.0/15

nat

chain=srcnat action=masquerade src-address=1.0.0.0/15 out-interface=ether3

g7001 · May 7, 2010

Да нет все верно. Со стороны пользователей 1.0.0.0/15 Это dst-adress.

Для простоты понимания.

Есть 2 провайдера. У одного из низ есть более интересные рессурсы. К ним есть и дуступ с мира. Соответсвенно нужно пакеты пользователей перенаправить на нужный интерфейс,что бы они пошли именно на хозяина ресурса,а не через мир.

nat

chain=srcnat action=masquerade dst-address=1.0.0.0/15 out-interface=ether3 не работает.Трэйс говорит что идет так как надо,начинаешь качать идет через мир.

martin74 · May 7, 2010

route print в студию....

martini · May 7, 2010

у так логично, трейс у тебя показывает маршрут до 1.0.0.0/15, ты уверен что провайдерская сеть 1.0.0.0/15 знает что твой ИП (ether3) находится за красным роутером (на рисунке), а не за зеленым.

trace · May 7, 2010

я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам.

martini · May 8, 2010

кстати , да, какой у тебя роут для маркированных пакетов ??

g7001 · May 8, 2010

/ip route> print 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        G GATEWAY              DISTANCE IN..
0 A S  0.0.0.0/0                          r 70.11.23.1        1        vl..
1 ADC  10.10.10.10/32     10.10.10.1                             0        <p..
2 ADC  10.10.10.12/32     10.10.10.1                             0        <p..
3 ADC  10.10.10.14/32     10.10.10.1                             0        <p..
4 ADC  10.10.10.28/32     10.10.10.1                             0        <p..
5 ADC  10.10.10.30/32     10.10.10.1                             0        <p..
6 ADC  10.10.10.40/32     10.10.10.1                             0        <p..
7 ADC  10.10.10.49/32     10.10.10.1                             0        <p..

По умолчанию стоит роут на шлюз первого провайдера 70.11.23.1,через ether2 70.11.23.2.

Сответсвенно через 70.11.23.1 ходит подсеть 70.125.87.99/27.

/ip firewall nat> print 
Flags: X - disabled, I - invalid, D - dynamic 

1  chain=srcnat action=src-nat to-addresses=74.125.87.100 src-address=192.168.100.3 

2  chain=dstnat action=dst-nat to-addresses=192.168.100.3 dst-address=74.125.87.100 

3 chain=srcnat action=masquerade src-address=192.168.89.0/24 out-interface=vlan1

4 chain=srcnat action=src-nat to-addresses=74.125.87.102 to-ports=0-65535 protocol=tcp src-address=10.10.10.0/24 

5  chain=dstnat action=dst-nat to-addresses=10.10.10.0/24 dst-address=74.125.87.102

я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам.

ether3 подключен к другому прову. ether3 60.10.134.109/24 gateway 60.10.134.254.

Соответсвенно нужно что бы пользователь когда идет на 60.0.0.0/15 пошел через 60.10.134.254,а не через 70.11.23.1.

я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам.

Если так делать то на шлюз второго прова 60.10.134.254 идет подсеть 70.125.87.99/27 ,сответсвенно ничего непроисходит,так как маршрут для подсети не прописан. Пока нет возможности попросить прописать маршрутизацию,поэтому нужно сделать как то по другому.

А подругому это только натить маркированые пакеты,а оно нифига не натится.

Edited May 8, 2010 by g7001

martini · May 8, 2010

добавь через консоль

/ip route add dst-address=60.0.0.0/15 gateway=60.10.134.254 routing-mark=1.0.0.0/15 (твоя мареировка в примере выше)

alexon · May 8, 2010

Кроме НАТа создай рауты на 3 сети через гейт второго прова и укажи в тех раутах в routing-mark твои отмаркированные пакеты.

Такое не раз делал - работает.

g7001 · May 8, 2010

Спасибо.Попробую еще разок. Может нужно его ребутить,а то странности какие то есть,вроде должно работать,а не хочет.

g7001 · May 11, 2010

Вобщем вопрос так и остался открытым.

/ip route add dst-address=60.0.0.0/15 gateway=60.10.134.254 routing-mark=1.0.0.0/15 (твоя мареировка в примере выше)

Кроме НАТа создай рауты на 3 сети через гейт второго прова и укажи в тех раутах в routing-mark твои отмаркированные пакеты.

Такое не раз делал - работает.

Это не совсем коректо работает,как уже и говорил-оно шлет пакеты от имени посети 70.125.87.99/27,а нужно что бы шло от имени 60.10.134.109.

Остается только вариант НАТить подсеть 70.125.87.99/27,через 60.10.134.109.

ВНИМАНИЕ ВОПРОС!

Как сделать приоритетизацию? т.е. чтобы сначало оно натило ,а потом роутило? иначе получается наоборот.

martini · May 11, 2010

блин, все работает, никаких проблем с твоей схемой нет, или давай доступ к роутеру или я сомневаюсь что ктото полностью понял что нужно и что есть.

Сначала будет роутинг (маркировка пакетов) а потом нат, только так и не иначе, и ничего не сделаешь с этим, так пакеты идут

Sign In

перенаправить трафик,ОС Mikrotik

Recommended Posts

g7001

martin74

martini

g7001

martin74

martini

trace

martini

g7001

martini

alexon

g7001

g7001

martini

Join the conversation