Jump to content

mikrotik simple queue bridge out

tartila
 Share

Recommended Posts

tartila

tartila

Posted
Posted

Господа, требуется помощь по iptables-tc/mikrotik simple queue. Имею дома роутер на микротике с построенным бриджом, в котором сведены тоннели в белый свет. На тоннелях поставлены path-cost, то есть не работает один провайдер - уходим незаметно на другой. Все работает классно. Теперь решил нарезать QoS на базе simple queues и обнаружил засаду при работе с бриджом. :)) Если правила mangle для in-bridge работают идеально, то правила с out-bridge не работают нифига. Предполагаю, что проблема лежит в плоскости bridge decision - то есть, os надо определить, что делать с пакетом перед тем как совать его в бридж.

 

И так, приведу пример:

/ip firewall mangle
add action=mark-packet chain=forward comment=\
   "Mark Internet via Link 1 for incoming packets" \
   in-bridge-port=eoip-over-l1 in-interface=\
   InternetBridge new-packet-mark=tun-l1-inet \
   passthrough=no
add action=mark-packet chain=forward comment=\
   "Mark Internet via Link 2 for incoming packets" \
   in-bridge-port=eoip-over-l2 in-interface=\
   InternetBridge new-packet-mark=tun-l2-inet \
   passthrough=no

 

Тут все работает, претензий нет. Пакеты матчаться, qos работает дальше в simple queues.

 

Теперь, делаем все тоже самое, но на исход:

 

 

/ip firewall mangle
add action=mark-packet chain=forward comment=\
   "Mark Internet via Link 1 for outgoing packets" \
   out-bridge-port=eoip-over-l1 out-interface=\
   InternetBridge new-packet-mark=tun-l1-inet \
   passthrough=no
add action=mark-packet chain=forward comment=\
   "Mark Internet via Link 2 for outgoing packets" \
   out-bridge-port=eoip-over-l2 out-interface=\
   InternetBridge new-packet-mark=tun-l2-inet \
   passthrough=no

 

И тут уже ничего не матчится. Зырю по торчу в WinBox на бридж и вижу, что порты в бридже действительно видят только входящие пакеты, исхода как бы нет :) Вопрос - почему и как бы пофиксить? Самое интересное, что если зырить torch в консоли без расписки кто куда идет или посмотреть общий стат торча в winbox внизу, то исход на eoip порт как бы есть - просто в списке коннекшенов этого исхода нет :))

 

Как бы заматчить теперь это дело?

 

p.s. Совершенно очевидно и понятно, что если матчить исход только по бриджу, то iptables его видит:

 

/ip firewall mangle
add action=mark-packet chain=forward comment=\
   "Mark Internet via bridge for outgoing packets" \
   out-interface=InternetBridge new-packet-mark=bridge-inet \
   passthrough=no

tartila

tartila

Posted
  • Author
Posted (edited)

тут несколько вариантов.. попробуй для начала включить в бридже IP firewall

 

Ну как без этого не работал бы in-bridge :)

 

p.s. конечно же включено

Edited by tartila

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.