g7001 Опубликовано 7 мая, 2010 (изменено) · Жалоба Есть два Gateway. 1)на который идет весь трафик 2)на который нужно зарульить 3 подсети. Допустим нужно зарулить подсеть 1.0.0.0/15 на 2-й шлюз. Маркирую пакеты идущие на 1.0.0.0/15 chain=prerouting action=mark-routing new-routing-mark=1.0.0.0/15 passthrough=no dst-address=1.0.0.0/15 Теперь создаю правило маскарадинга на интерфейс смотрящий на нужный шлюз,ether3. chain=srcnat action=masquerade routing-mark=1.0.0.0/15 out-interface=ether3 Пакеты маркирует,а Натить не хочет. Гонит через первый шлюз. Подскажите что делаю не так? Изменено 7 мая, 2010 пользователем g7001 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 7 мая, 2010 · Жалоба может не "на 1.0.0.0/15" а "с 1.0.0.0/15" ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 7 мая, 2010 · Жалоба mangle chain=prerouting action=mark-routing new-routing-mark=1.0.0.0/15 passthrough=no src-address=1.0.0.0/15 nat chain=srcnat action=masquerade src-address=1.0.0.0/15 out-interface=ether3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 7 мая, 2010 · Жалоба Да нет все верно. Со стороны пользователей 1.0.0.0/15 Это dst-adress. Для простоты понимания. Есть 2 провайдера. У одного из низ есть более интересные рессурсы. К ним есть и дуступ с мира. Соответсвенно нужно пакеты пользователей перенаправить на нужный интерфейс,что бы они пошли именно на хозяина ресурса,а не через мир. nat chain=srcnat action=masquerade dst-address=1.0.0.0/15 out-interface=ether3 не работает.Трэйс говорит что идет так как надо,начинаешь качать идет через мир. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 7 мая, 2010 · Жалоба route print в студию.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 7 мая, 2010 · Жалоба у так логично, трейс у тебя показывает маршрут до 1.0.0.0/15, ты уверен что провайдерская сеть 1.0.0.0/15 знает что твой ИП (ether3) находится за красным роутером (на рисунке), а не за зеленым. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
trace Опубликовано 7 мая, 2010 · Жалоба я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам. я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 8 мая, 2010 · Жалоба кстати , да, какой у тебя роут для маркированных пакетов ?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 8 мая, 2010 (изменено) · Жалоба /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC G GATEWAY DISTANCE IN.. 0 A S 0.0.0.0/0 r 70.11.23.1 1 vl.. 1 ADC 10.10.10.10/32 10.10.10.1 0 <p.. 2 ADC 10.10.10.12/32 10.10.10.1 0 <p.. 3 ADC 10.10.10.14/32 10.10.10.1 0 <p.. 4 ADC 10.10.10.28/32 10.10.10.1 0 <p.. 5 ADC 10.10.10.30/32 10.10.10.1 0 <p.. 6 ADC 10.10.10.40/32 10.10.10.1 0 <p.. 7 ADC 10.10.10.49/32 10.10.10.1 0 <p.. По умолчанию стоит роут на шлюз первого провайдера 70.11.23.1,через ether2 70.11.23.2. Сответсвенно через 70.11.23.1 ходит подсеть 70.125.87.99/27. /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 1 chain=srcnat action=src-nat to-addresses=74.125.87.100 src-address=192.168.100.3 2 chain=dstnat action=dst-nat to-addresses=192.168.100.3 dst-address=74.125.87.100 3 chain=srcnat action=masquerade src-address=192.168.89.0/24 out-interface=vlan1 4 chain=srcnat action=src-nat to-addresses=74.125.87.102 to-ports=0-65535 protocol=tcp src-address=10.10.10.0/24 5 chain=dstnat action=dst-nat to-addresses=10.10.10.0/24 dst-address=74.125.87.102 я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам. ether3 подключен к другому прову. ether3 60.10.134.109/24 gateway 60.10.134.254. Соответсвенно нужно что бы пользователь когда идет на 60.0.0.0/15 пошел через 60.10.134.254,а не через 70.11.23.1. я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам. Если так делать то на шлюз второго прова 60.10.134.254 идет подсеть 70.125.87.99/27 ,сответсвенно ничего непроисходит,так как маршрут для подсети не прописан. Пока нет возможности попросить прописать маршрутизацию,поэтому нужно сделать как то по другому. А подругому это только натить маркированые пакеты,а оно нифига не натится. Изменено 8 мая, 2010 пользователем g7001 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 8 мая, 2010 · Жалоба добавь через консоль /ip route add dst-address=60.0.0.0/15 gateway=60.10.134.254 routing-mark=1.0.0.0/15 (твоя мареировка в примере выше) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexon Опубликовано 8 мая, 2010 · Жалоба Кроме НАТа создай рауты на 3 сети через гейт второго прова и укажи в тех раутах в routing-mark твои отмаркированные пакеты. Такое не раз делал - работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 8 мая, 2010 · Жалоба Спасибо.Попробую еще разок. Может нужно его ребутить,а то странности какие то есть,вроде должно работать,а не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 11 мая, 2010 · Жалоба Вобщем вопрос так и остался открытым. /ip route add dst-address=60.0.0.0/15 gateway=60.10.134.254 routing-mark=1.0.0.0/15 (твоя мареировка в примере выше) Кроме НАТа создай рауты на 3 сети через гейт второго прова и укажи в тех раутах в routing-mark твои отмаркированные пакеты. Такое не раз делал - работает. Это не совсем коректо работает,как уже и говорил-оно шлет пакеты от имени посети 70.125.87.99/27,а нужно что бы шло от имени 60.10.134.109. Остается только вариант НАТить подсеть 70.125.87.99/27,через 60.10.134.109. ВНИМАНИЕ ВОПРОС! Как сделать приоритетизацию? т.е. чтобы сначало оно натило ,а потом роутило? иначе получается наоборот. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 11 мая, 2010 · Жалоба блин, все работает, никаких проблем с твоей схемой нет, или давай доступ к роутеру или я сомневаюсь что ктото полностью понял что нужно и что есть. Сначала будет роутинг (маркировка пакетов) а потом нат, только так и не иначе, и ничего не сделаешь с этим, так пакеты идут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...