Да мне нужно было не через днсп клиента настраивать, а через ппое
И ещё один момент помогите с правами клиенты не могут выйти в интернет ошибка «сбой передачи»
Код: Выделить всё
[admin@MikroTik] > /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> print detail
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-connection new-connection-mark=allow_in connection-state=new protocol=tcp dst-port=9999 [admin@MikroTik] /ip firewall mangle> /ip firewall nat
[admin@MikroTik] /ip firewall nat> print detail
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=61.75.223.64/27 out-interface=pppoe-out1 log=no log-prefix=""
1 chain=dstnat action=redirect to-ports=80 protocol=tcp dst-port=9999
[admin@MikroTik] /ip firewall nat> /ip firewall mangle
[admin@MikroTik] /ip firewall mangle> print detail
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-connection new-connection-mark=allow_in connection-state=new protocol=tcp dst-port=9999
[admin@MikroTik] /ip firewall mangle> /ip firewall filter
[admin@MikroTik] /ip firewall filter> print detail
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input protocol=icmp
1 chain=input connection-state=new protocol=tcp src-address=61.75.223.64/27 in-interface=br-lan dst-port=80,8291,22
2 chain=input action=accept connection-state=new protocol=tcp connection-mark=allow_in in-interface=pppoe-out1 dst-port=80 log=no log-prefix=""
3 chain=input action=accept connection-state=new protocol=udp src-address=61.75.223.64/27 in-interface=br-lan dst-port=53,123 log=no log-prefix=""
4 chain=input connection-state=established,related
5 chain=output connection-state=!invalid
6 chain=forward action=accept connection-state=established,new src-address=61.75.223.64/27 in-interface=br-lan out-interface=pppoe-out1 log=no log-prefix=""
7 chain=forward action=accept connection-state=established,related in-interface=pppoe-out1 out-interface=br-lan log=no log-prefix=""
8 chain=input action=drop
9 chain=output action=drop
10 chain=forward action=drop
[admin@MikroTik] /ip firewall filter> /ip route
[admin@MikroTik] /ip route> print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
0 ADS dst-address=0.0.0.0/0 gateway=pppoe-out1 gateway-status=pppoe-out1 reachable distance=0 scope=30 target-
1 ADC dst-address=61.75.213.64/27 pref-src=61.75.213.65 gateway=br-lan gateway-status=br-lan reachable distance=0 scope=10
2 ADC dst-address=213.231.0.200/32 pref-src=213.231.25.165 gateway=pppoe-out1 gateway-status=pppoe-out1 reachable distance=0 scope=10
[admin@MikroTik] /ip route> /ip addres
[admin@MikroTik] /ip address> print detail
Flags: X - disabled, I - invalid, D - dynamic
0 address=61.75.213.65/27 network=61.75.213.64 interface=br-lan actual-interface=br-lan
1 D address=213.231.25.165/32 network=213.231.0.200 interface=pppoe-out1 actual-interface=pppoe-out1
admin@MikroTik] /ip address> /interface
[admin@MikroTik] /interface> print detail
Flags: D - dynamic, X - disabled, R - running, S - slave
0 R ;;; wan
name="eth1-wan" default-name="ether1" type="ether" mtu=1500 actual-mtu=1500 l2mtu=1598 max-l2mtu=4074 mac-address=64:D1:54:9F:C8:E4
last-link-up-time=jan/21/2018 15:02:12 link-downs=0
1 S ;;; lan
name="eth2-lan" default-name="ether2" type="ether" mtu=1500 actual-mtu=1500 l2mtu=1598 max-l2mtu=4074 mac-address=64:D1:54:9F:C8:E5 link-downs=0
2 S name="eth3-lan" default-name="ether3" type="ether" mtu=1500 actual-mtu=1500
l2mtu=1598 max-l2mtu=4074 mac-address=64:D1:54:9F:C8:E6 link-downs=0
3 S name="eth4-lan" default-name="ether4" type="ether" mtu=1500 actual-mtu=1500 l2mtu=1598 max-l2mtu=4074 mac-address=64:D1:54:9F:C8:E7 link-downs=0
4 RS name="eth5-lan" default-name="ether5" type="ether" mtu=1500 actual-mtu=1500 l2mtu=1598 max-l2mtu=4074 mac-address=64:D1:54:9F:C8:E8
last-link-down-time=jan/21/2018 15:21:29 last-link-up-time=jan/21/2018 15:21:33 link-downs=1
5 S name="wlan1" default-name="wlan1" type="wlan" mtu=1500 actual-mtu=1500 l2mtu=1600 max-l2mtu=2290 mac-address=64:D1:54:9F:C8:E9
last-link-down-time=jan/21/2018 15:54:09
last-link-up-time=jan/21/2018 15:53:14 link-downs=2
6 R name="br-lan" type="bridge" mtu=auto actual-mtu=1500 l2mtu=1598 mac-address=64:D1:54:9F:C8:E5 last-link-up-time=jan/21/2018 15:02:09 link-downs=0
7 R name="pppoe-out1" type="pppoe-out" mtu=1480 actual-mtu=1480 last-link-up-time=jan/21/2018 15:19:52 link-downs=0
[admin@MikroTik] /interface> /ip dhcp-server
[admin@MikroTik] /ip dhcp-server> print detail
Flags: D - dynamic, X - disabled, I - invalid
0 name="dhcppool" interface=br-lan lease-time=8h address-pool=dhcppool bootp-support=static authoritative=yes use-radius=no lease-script=""
admin@MikroTik] /ip dhcp-server> /ip pool
[admin@MikroTik] /ip pool> print detail
0 name="dhcppool" ranges=61.75.223.66-61.75.223.93
[admin@MikroTik] /ip dns> print
servers:
dynamic-servers: 194.143.136.1,194.143.136.2
allow-remote-requests: no
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 18KiB
Примерно чуть более месяца назад приобрёл роутер MikroTik hap hac2, настроил по Quick set, после настроил ещё только dns сервера и пару статичных адресов в DHCP. Всё это время он работал без нареканий.
Но пару дней назад почему-то стал выдавать no route to host на публичные адреса, хотя при этом пинг до хоста работает и telnet по порту из роутера выполняется успешно (no route to host — с клиентов). То есть, с клиентов:
$ ping github.com
PING github.com (140.82.118.3) 56(84) bytes of data.
64 bytes from lb-140-82-118-3-ams.github.com (140.82.118.3): icmp_seq=1 ttl=56 time=51.8 ms
$ telnet github.com 22
Trying 140.82.118.3...
Trying 140.82.118.4...
telnet: Unable to connect to remote host: No route to hostС терминала роутера же всё ок. В чем может быть проблема?
Да, после перезагрузки на некоторое время проблема исчезает примерно на несколько часов.
Привожу конфиг:
export compact
# apr/23/2019 15:37:56 by RouterOS 6.44.2
# software id = L82U-UTWW
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00AF34868
/interface bridge
add admin-mac=74:4D:28:1E:30:C0 arp=proxy-arp auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=<pass> user=<user>
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-eC disabled=no distance=indoors frequency=2447 mode=ap-bridge ssid=<SSID> wireless-protocol=802.11
set [ find default-name=wlan2 ] arp=proxy-arp band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=<SSID> tx-power=22 tx-power-mode=
all-rates-fixed wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key="<password>" wpa2-pre-shared-key="<password>"
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.5-192.168.88.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=50m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.88.6 client-id=1:d0:50:99:6:39:68 mac-address=D0:50:99:06:39:68 server=defconf
add address=192.168.88.7 mac-address=D4:3B:04:7B:46:89 server=defconf
add address=192.168.88.9 client-id=1:ac:ed:5c:cc:c4:50 mac-address=AC:ED:5C:CC:C4:50 server=defconf
add address=192.168.88.8 mac-address=BC:A8:A6:84:78:2B server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ssh
set allow-none-crypto=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge type=internal
add interface=pppoe-out1 type=external
/system clock
set time-zone-name=Europe/Saratov
/system identity
set name=kolyan
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANСтраница 1 из 2
-
Ситуация: имеем 2 провайдера и 3 независящих друг от друга офиса (см.рис во вложении). Идею настройки микротика взял здесь (http://geektimes.ru/post/186284/). Разница только в меньшем количестве провайдеров и алгоритме переключения. Реализована схема резервирования следующая:
office1: ISP1-> ISP2
office2: ISP1->нет выхода в интернет
office3: ISP1->нет выхода в интернет
Проблема: не работает маршрутизация маркированных соединений, а именно при настройках маршрутизации как описано во вложении, нет доступа в интернет ни с одной из локальных сетей, а так же не работает проброс портов снаружи внутрь локальных сетей.
Вопрос: что допилить в настройках, чтобы всё нормально работало?З.Ы. При 3-х провайдерах всё нормально работает, здесь же в сокращённом варианте не работает.
Вложения:
-
Приятно видеть что ссылаются на мою статью =)
что то вы вообще всё напуталиadd action=mark-connection chain=input dst-address=206.188.193.174 dst-port=8081 in-interface=ether1 new-connection-mark="ISP 1->Input" passthrough=no protocol=tcp
измените на
add action=mark-connection chain=input dst-address=206.188.193.174 in-interface=ether1 new-connection-mark="ISP 1->Input"
а строку
add action=mark-routing chain=output connection-mark="ISP 1->Input" new-routing-mark="ISP 1" passthrough=no src-address-list=LocalNet
на
add action=mark-routing chain=output connection-mark="ISP 1->Input" new-routing-mark="ISP 1"
Не надо пытаться вывернуть dst NAT обратно, contract всё сам сделает
-
Я бы еще не использовал что-либо отличное от букв-цифр в названиях чего-либо в Микротиках.
В нескольких версиях RoS были всякие ошибки с этим связанные. Причем, такие ошибки — что поседеешь, пока найдешь. =) -
Давно уже исправили, один нюанс остался это пробел, приходится брать в кавычки, но кто работал с DOS тому не привыкать =)
-
Ну, сегодня исправили, завтра опять накосячили… Лучше уж исключить в принципе, как по мне.
-
Не всегда можно донести смысловую нагрузку словами, ведь хочется чтобы было понятно и красиво. «Носки под кроватью, порядок в маршрутизаторе» =)
-
Noski_pod_krovatyu_poryadok_v_marshrutizatore )))
-
После внесённых изменений проброс портов и выход из локальных сетей в инет не заработал.
Методом тыка установил, что если добавить:/ip route add distance=1 gateway=206.188.193.173
т.е. всё, без всяких условий, заворачивается на шлюз ISP1. После этого появляется интернет из локальных сетей. Но проброс портов снаружи во внутрь не работает. И только если указанные вами строки оставить в моём варианте, то начинает работать проброс, но только с ISP1 (это и понятно, т.к. ip route настроено железно на ISP1). В итоге резервирование не срабатывает. Т.е. если вырубить ISP1, локальная сеть office1 в инет не выходит, переключение срабатывает, но неправильный ip route всё заворачивает на неработающий шлюз.
Исходя из этого я и решил, что в ip route не срабатывает маршрутизация по маркерам «ISP1» и ‘ISP2» -
Выложите
/ip firewall mangle export
/ip route export
Посмотрю. -
/ip firewall mangle add action=mark-routing chain=output connection-mark="ISP 1->Input" new-routing-mark="ISP 1" passthrough=no src-address-list=LocalNet add action=mark-routing chain=prerouting connection-mark="ISP 1->Input" new-routing-mark="ISP 1" passthrough=no src-address-list=LocalNet add action=mark-connection chain=prerouting dst-address=206.188.193.174 dst-port=8082 in-interface=ether1 new-connection-mark="ISP 1->Input" passthrough=no protocol=tcp add action=mark-connection chain=input dst-address=206.188.193.174 dst-port=8081 in-interface=ether1 new-connection-mark="ISP 1->Input" passthrough=no protocol=tcp add action=mark-routing chain=output connection-mark="ISP 2->Input" new-routing-mark="ISP 2" passthrough=no src-address-list=LocalNet add action=mark-routing chain=prerouting connection-mark="ISP 2->Input" new-routing-mark="ISP 2" passthrough=no src-address-list=LocalNet add action=mark-connection chain=input dst-address=2.20.254.82 dst-port=8081 in-interface=ether2 new-connection-mark="ISP 2->Input" passthrough=no protocol=tcp add action=mark-connection chain=prerouting dst-address=2.20.254.82 dst-port=8082 in-interface=ether2 new-connection-mark="ISP 2->Input" passthrough=no protocol=tcp add action=mark-routing chain=prerouting dst-address-list=!LocalNet new-routing-mark="office 1" passthrough=no src-address=192.168.60.0/24 add action=mark-routing chain=prerouting dst-address-list=!LocalNet new-routing-mark="office 2" passthrough=no src-address=192.168.70.0/24 add action=mark-routing chain=prerouting dst-address-list=!LocalNet new-routing-mark="office 3" passthrough=no src-address=192.168.71.0/24
/ip route add distance=1 gateway=206.188.193.173 routing-mark="ISP 1" add distance=1 gateway=2.20.254.81 routing-mark="ISP 2" add distance=1 gateway=206.188.193.173 add check-gateway=ping distance=1 comment=PPTP dst-address=192.168.0.0/24 gateway=192.168.5.3 pref-src=192.168.5.4 add check-gateway=arp distance=10 gateway=206.188.193.173 routing-mark="office 1" add check-gateway=arp distance=10 gateway=206.188.193.173 routing-mark="office 2" add check-gateway=arp distance=10 gateway=206.188.193.173 routing-mark="office 3" add check-gateway=arp distance=11 gateway=2.20.254.81 routing-mark="office 1" add distance=1 dst-address=8.8.8.8/32 gateway=206.188.193.173 add distance=1 dst-address=194.67.160.3/32 gateway=206.188.193.173 add distance=1 dst-address=194.67.161.1/32 gateway=206.188.193.173 add distance=1 dst-address=80.244.224.250/32 gateway=2.20.254.81 add distance=1 dst-address=82.114.102.200/32 gateway=2.20.254.81
-
add action=mark-connection chain=input dst-address=206.188.193.174 dst-port=8081
add action=mark-connection chain=input dst-address=2.20.254.82 dst-port=8081
неправильно.
Для начала делаем так
1. Маркируем коннекшины в цепочках prerouting и output
2. Маркируем маршруты в этих же цепочках.Маркировать в input бесполезно. Эта цепочка идет уже за принятием решения об маршрутизации. И как следствие у вас в коннекшн трекер прилетает не то, что вы ожидаете. Так как первый пакет соединения УЖЕ прошел маршрутизацию без маркировки.
-
По поводу неправильности использования INPUT я согласен, просто в первоисточнике (http://geektimes.ru/post/186284/) вся маркировка и маршрутизация организована именно на INPUT и OUTPUT. В ходе повтора этого алгоритма у себя на фактическом микротике с фактическими локальными сетями у меня ничего не заработало и только «покурив» теорию (в частности и эту (а конкретно см.З.Ы.)) я понял , что INPUT и OUTPUT работают ТОЛЬКО для самого шлюза-микротика и ни как не влияют на проходящий (FORWARD) трафик в локальные сети. Поэтому пришлось «докуривать» те же самые правила в PREROUTING. Только после этого кое-как всё заработало. Поэтому цепочки с INPUT и OUTPUT остались как атавизмы от оригинальной реализации. Исходя из З.Ы. надо убирать не только INPUT цепочки, но и OUTPUT, вот только чем последние заменить?
З.Ы.А если на самом шлюзе запускаются браузер, почта и пр. То это уже Входящий и Исходящий трафик для шлюза. Не транзитный. INPUT и OUTPUT.Т.к. конечная точка всех пакетов — это сам шлюз, а не компы за шлюзом.Это левая и правая диаграмма, только без центрального блока FORWARD.В Микротике правая практически никогда не задействована. Так что про INPUT-OUTPUT забудьте.Только для блокировки входящих пакетов. -
Вы не правы. От слова «вообще».
Input все равно проходит через prerouting.
А вот Output через него не идет. И его надо маркировать с целями:
1. Чтобы пакеты которые пришли на роутер, ушли через тот же интерфейс (например ваш роутер «пинганули» из Интернет).
2. Чтобы пакеты создаваемые роутером уходили через нужный интерфейс. (Например VPN с роутера). -
Добрый день!
Вброшу вопрос по этой же теме, почти с теми же условиями…
Вот есть «сколькоугоднооператоров», mangle настроен, т.е. ПРОХодящий трафик маркируется и уходит как надо, входящий уходит через порт на который пришел. А если пакет генерируется на маршрутизаторе и отправляется, то он уходит через маршрут main (где main маршрут без routing mark).
Каким образом верно создать правило в mangle, что бы генерируемый трафик ушел через нужный маршрут? четпоплылприуныл. Выгуглил пару вариантов, но они не заработали, т.е. при отключение маршрута main пинги с роутера не идут, но если в консоле к ping добавить routing-table то проходят. -
Маркировать output.
Т.е. сначала отмаркировали output который не имеет connection-mark, потом все остальные. -
убил конфигу, настраиваю самое важное(базовую настройка само-собой сделана):
Маршрут
ip route add distance=1 gateway=192.168.0.1 routing-mark=test
ip route add distance=1 gateway=192.168.0.1
Пингую 8.8.8.8 — все ок
Создаю правило mangle
ip firewall mangle add action=mark-routing chain=output dst-address=8.8.8.8 new-routing-mark=test passthrough=no
Отключаю маршрут без маркировке и получаю no route to host.
Уже прохождение трафика перекопал на микротике… всё равно не доезжаю до подвоха
При этом такое правило пинг с ПК пропускает при отключенном маршруте «main»:
ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.88.0/24 new-routing-mark=test passthrough=no src-address=192.168.88.0/24 -
Покажите полностью все input и output в mangle
-
Это всё, т.к. сел разбираться с mangl’ом и взял чистую конфигурацию:
/ip firewall mangle add action=mark-routing chain=output dst-address=8.8.8.8 new-routing-mark=test passthrough=no protocol=icmp add action=mark-routing chain=prerouting dst-address=!192.168.88.0/24 new-routing-mark=test passthrough=no src-address=192.168.88.0/24и
/ip route add distance=1 gateway=192.168.0.1 routing-mark=test add distance=1 gateway=192.168.0.1
Последнее редактирование модератором: 11 фев 2016
-
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-g
Страница 1 из 2
