[g7001]

Есть два Gateway.

1)на который идет весь трафик

2)на который нужно зарульить 3 подсети.

 

Допустим нужно зарулить подсеть 1.0.0.0/15 на 2-й шлюз.

 

Маркирую пакеты идущие на 1.0.0.0/15

 

chain=prerouting action=mark-routing new-routing-mark=1.0.0.0/15 passthrough=no dst-address=1.0.0.0/15

 

Теперь создаю правило маскарадинга на интерфейс смотрящий на нужный шлюз,ether3.

 

chain=srcnat action=masquerade routing-mark=1.0.0.0/15 out-interface=ether3

 

Пакеты маркирует,а Натить не хочет. Гонит через первый шлюз.

 

Подскажите что делаю не так?

Edited May 7, 2010 by g7001

[martin74]

может не "на 1.0.0.0/15" а "с 1.0.0.0/15" ?

[martini]

mangle

chain=prerouting action=mark-routing new-routing-mark=1.0.0.0/15 passthrough=no src-address=1.0.0.0/15

 

nat

chain=srcnat action=masquerade src-address=1.0.0.0/15 out-interface=ether3

[g7001]

Да нет все верно. Со стороны пользователей 1.0.0.0/15 Это dst-adress.

 

Для простоты понимания.

 

Есть 2 провайдера. У одного из низ есть более интересные рессурсы. К ним есть и дуступ с мира. Соответсвенно нужно пакеты пользователей перенаправить на нужный интерфейс,что бы они пошли именно на хозяина ресурса,а не через мир.

 

nat

chain=srcnat action=masquerade dst-address=1.0.0.0/15 out-interface=ether3 не работает.Трэйс говорит что идет так как надо,начинаешь качать идет через мир.

[martin74]

route print в студию....

[martini]

у так логично, трейс у тебя показывает маршрут до 1.0.0.0/15, ты уверен что провайдерская сеть 1.0.0.0/15 знает что твой ИП (ether3) находится за красным роутером (на рисунке), а не за зеленым.

[trace]

я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам.

 

я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам.

[martini]

кстати , да, какой у тебя роут для маркированных пакетов ??

[g7001]

/ip route> print 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        G GATEWAY              DISTANCE IN..
0 A S  0.0.0.0/0                          r 70.11.23.1        1        vl..
1 ADC  10.10.10.10/32     10.10.10.1                             0        <p..
2 ADC  10.10.10.12/32     10.10.10.1                             0        <p..
3 ADC  10.10.10.14/32     10.10.10.1                             0        <p..
4 ADC  10.10.10.28/32     10.10.10.1                             0        <p..
5 ADC  10.10.10.30/32     10.10.10.1                             0        <p..
6 ADC  10.10.10.40/32     10.10.10.1                             0        <p..
7 ADC  10.10.10.49/32     10.10.10.1                             0        <p..

 

По умолчанию стоит роут на шлюз первого провайдера 70.11.23.1,через ether2 70.11.23.2.

 

Сответсвенно через 70.11.23.1 ходит подсеть 70.125.87.99/27.

 

/ip firewall nat> print 
Flags: X - disabled, I - invalid, D - dynamic 

1  chain=srcnat action=src-nat to-addresses=74.125.87.100 src-address=192.168.100.3 

2  chain=dstnat action=dst-nat to-addresses=192.168.100.3 dst-address=74.125.87.100 

3 chain=srcnat action=masquerade src-address=192.168.89.0/24 out-interface=vlan1

4 chain=srcnat action=src-nat to-addresses=74.125.87.102 to-ports=0-65535 protocol=tcp src-address=10.10.10.0/24 

5  chain=dstnat action=dst-nat to-addresses=10.10.10.0/24 dst-address=74.125.87.102

 

я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам.

ether3 подключен к другому прову. ether3 60.10.134.109/24 gateway 60.10.134.254.

 

Соответсвенно нужно что бы пользователь когда идет на 60.0.0.0/15 пошел через 60.10.134.254,а не через 70.11.23.1.

 

 

я делал по другому. ставил два маршрута 0.0.0.0 для разных маркировок, и далее маркировал траффик по нужным мне правилам.

Если так делать то на шлюз второго прова 60.10.134.254 идет подсеть 70.125.87.99/27 ,сответсвенно ничего непроисходит,так как маршрут для подсети не прописан. Пока нет возможности попросить прописать маршрутизацию,поэтому нужно сделать как то по другому.

А подругому это только натить маркированые пакеты,а оно нифига не натится.

Edited May 8, 2010 by g7001

[martini]

добавь через консоль

/ip route add dst-address=60.0.0.0/15 gateway=60.10.134.254 routing-mark=1.0.0.0/15 (твоя мареировка в примере выше)

[alexon]

 

Кроме НАТа создай рауты на 3 сети через гейт второго прова и укажи в тех раутах в routing-mark твои отмаркированные пакеты.

 

Такое не раз делал - работает.

 

 

[g7001]

Спасибо.Попробую еще разок. Может нужно его ребутить,а то странности какие то есть,вроде должно работать,а не хочет.

 

[g7001]

Вобщем вопрос так и остался открытым.

 

/ip route add dst-address=60.0.0.0/15 gateway=60.10.134.254 routing-mark=1.0.0.0/15 (твоя мареировка в примере выше)

Кроме НАТа создай рауты на 3 сети через гейт второго прова и укажи в тех раутах в routing-mark твои отмаркированные пакеты.

 

Такое не раз делал - работает.

Это не совсем коректо работает,как уже и говорил-оно шлет пакеты от имени посети 70.125.87.99/27,а нужно что бы шло от имени 60.10.134.109.

 

Остается только вариант НАТить подсеть 70.125.87.99/27,через 60.10.134.109.

 

ВНИМАНИЕ ВОПРОС!

Как сделать приоритетизацию? т.е. чтобы сначало оно натило ,а потом роутило? иначе получается наоборот.

 

 

 

[martini]

блин, все работает, никаких проблем с твоей схемой нет, или давай доступ к роутеру или я сомневаюсь что ктото полностью понял что нужно и что есть.

Сначала будет роутинг (маркировка пакетов) а потом нат, только так и не иначе, и ничего не сделаешь с этим, так пакеты идут