Возможна ли маркировка на микротике, которая передаётся на др микротик?

[HA3APET]

Зашёл на неизведанную мной территорию)
Возможна ли маркировка на микротике, которая передаётся за микротик и считывается другим микротиком?

Пример: есть базовая станция в режиме Bridge, на неё смотрят клиенты (микротик) в режиме WDS.
То есть создаются WDS интерфейсы.
Есть роутер, где NAT, DHCP.
Как бы поймать на этом роутере пакеты идущие от конкретного WDS на базовой станции...

[freewood]

Честно говоря, не знаю на сколько это допустимо, но можно попробовать использовать DSCP для маркировки всего трафика улетающего с одной из станций. Только желательно, где-то ту маркировку потом снимать, когда она уже не нужна - например на шлюзе.

[Chupaka]

именно так: в IP-пакетах сохраняются только ToS/DSCP, их и надо использовать

можно ещё с VLAN'ами побаловаться, но это уже из пушки по воробьям

[HA3APET]

Усердно читаю на эту тему)
Можно хотя бы набросок команд по маркировке и снятию, что бы было проще разобраться?

[Chupaka]

установить DSCP: /ip firewall mangle add chain=forward action=change-dscp new-dscp=14
проверить DSCP: /ip firewall mangle add chain=forward dscp=14 action=...
снять (установить в ноль) DSCP: /ip firewall mangle add chain=forward action=change-dscp new-dscp=0

если между роутерами прокинуть VLAN, то можно ещё метку 802.1p использовать (priority, там значения 0-7, вроде как)

[HA3APET]

Спасибо, продолжаю разбираться.
А устанавливать на базовой станции или на клиентах смотрящих на неё? На клиентах как я понял.
И не помешает ли то, что все WDS на базовой станции в одном бридже?

[Chupaka]

А устанавливать на базовой станции или на клиентах смотрящих на неё? На клиентах как я понял.

где вам удобнее

И не помешает ли то, что все WDS на базовой станции в одном бридже?

главное, чтобы правила, которые будут с нужным трафиком работать, добирались до него
конкретно спецификой WDS не владею

поле DSCP - просто одно из полей заголовка IP-пакета. как Src-Address или UDP Port. где-то поменяли - так пакет с изменениями и полетит дальше по сети

[HA3APET]

Вроде работает))
Только количество помеченных пакетов больше, чем тех что считались.
Но я думаю это нормально.
Спасибо, полезный форум!

[Chupaka]

Спасибо, полезный форум!

заходите к нам ещё, приводите друзей

[HA3APET]

установить DSCP: /ip firewall mangle add chain=forward action=change-dscp new-dscp=14
снять (установить в ноль) DSCP: /ip firewall mangle add chain=forward action=change-dscp new-dscp=0

А вот так не корректнее снять?
add action=change-dscp new-dscp=0 chain=postrouting dscp=14

[Chupaka]

Я только ключевые параметры указывал
Да, так полнее. Но, чтобы подчищать всё, что уходит в Интернет, проще сделать out-interface=WAN — и не проверять текущее значение. Ну, можно и dscp=!0, но разница вряд ли будет существенная

[HA3APET]

да, спасибо, самое оптимальное это указать forward, WAN интерфейс и dscp=!0.
В этом случаи пакеты пришедшие с меткой равняются пакетам с которых метка снялась.

[HA3APET]

В продолжении темы:
установил DSCP: /ip firewall mangle add chain=forward action=change-dscp new-dscp=4, на одном из устройств, за этим устройством всёго 1 IP (компьютер) 192.168.88.198
На шлюзе:
add action=mark-connection chain=forward dscp=4 new-connection-mark=Siz_conn

Вроде всё хорошо, но вот:
http://savepic.ru/9098585.png
почему не все соединения маркируются?

[Chupaka]

может, перезагрузить роутер для надёжности?
мало ли пакетов по этим соединениям ещё не было...

[HA3APET]

Перезагрузка не помогла.
промаркировал пакеты которые идут по этому new-connection-mark=Siz_conn и прописал в Simple Queues
Как видно есть пропуски, которые попадают в последующее правило:
http://savepic.ru/9083863.png

Может это связано с цепочкой Forward?
add action=mark-connection chain=forward dscp=4 new-connection-mark=Siz_conn
с прероутинг вроде ситуация лучше, но тоже пропуски есть.

[freewood]

С экспортом конфига фаерволла было бы все гораздо понятнее. Не видя его, можно только гадать почему не маркируются некоторые соединения.

[HA3APET]

ftp://37.98.165.204/filter.rsc
ftp://37.98.165.204/mangle.rsc

[freewood]

На этом устройстве все ок, полагаю, что до него долетают какие-то не промаркированные пакеты с другого конца, соответственно нужно там мангл смотреть.

[HA3APET]

ftp://37.98.165.204/1C/filter.rsc
ftp://37.98.165.204/1C/mangle.rsc

[freewood]

Очень все это странно. До сих пор есть немаркированные соединения?
На котике который маркирует пакеты, я бы лучше маркировал их перед уходом на другой роутер, а не все подряд, все таки этот заголовок служебный и его могут использовать различные программы.

[HA3APET]

да, до сих пор. У меня такие объяснения - либо TOS, заголовок не ко всем пакетам плюсуется, либо что то с цепочкой Forward не то и её надо поменять.

[HA3APET]

freewood, микротик который маркирует TOS, он без ната, в бридже. Есть ли смысл менять Forward на Prerouting (как я понял)?

[freewood]

HA3APET, имелось ввиду маркировать пакеты когда они уже уходят с девайса, т.е. добавить параметр "out-interface=".

[HA3APET]

в out-interface= я могу добавить только bridge интерфейс (др невозможно), но думаю в этом нет смысла.

[Chupaka]

если там чистый бридж - может, надо использовать Bridge Filter, а не IP Firewall?..