Возможна ли маркировка на микротике, которая передаётся на др микротик?

[Chupaka]

Я только ключевые параметры указывал
Да, так полнее. Но, чтобы подчищать всё, что уходит в Интернет, проще сделать out-interface=WAN — и не проверять текущее значение. Ну, можно и dscp=!0, но разница вряд ли будет существенная

[HA3APET]

да, спасибо, самое оптимальное это указать forward, WAN интерфейс и dscp=!0.
В этом случаи пакеты пришедшие с меткой равняются пакетам с которых метка снялась.

[HA3APET]

В продолжении темы:
установил DSCP: /ip firewall mangle add chain=forward action=change-dscp new-dscp=4, на одном из устройств, за этим устройством всёго 1 IP (компьютер) 192.168.88.198
На шлюзе:
add action=mark-connection chain=forward dscp=4 new-connection-mark=Siz_conn

Вроде всё хорошо, но вот:
http://savepic.ru/9098585.png
почему не все соединения маркируются?

[Chupaka]

может, перезагрузить роутер для надёжности?
мало ли пакетов по этим соединениям ещё не было...

[HA3APET]

Перезагрузка не помогла.
промаркировал пакеты которые идут по этому new-connection-mark=Siz_conn и прописал в Simple Queues
Как видно есть пропуски, которые попадают в последующее правило:
http://savepic.ru/9083863.png

Может это связано с цепочкой Forward?
add action=mark-connection chain=forward dscp=4 new-connection-mark=Siz_conn
с прероутинг вроде ситуация лучше, но тоже пропуски есть.

[freewood]

С экспортом конфига фаерволла было бы все гораздо понятнее. Не видя его, можно только гадать почему не маркируются некоторые соединения.

[HA3APET]

ftp://37.98.165.204/filter.rsc
ftp://37.98.165.204/mangle.rsc

[freewood]

На этом устройстве все ок, полагаю, что до него долетают какие-то не промаркированные пакеты с другого конца, соответственно нужно там мангл смотреть.

[HA3APET]

ftp://37.98.165.204/1C/filter.rsc
ftp://37.98.165.204/1C/mangle.rsc

[freewood]

Очень все это странно. До сих пор есть немаркированные соединения?
На котике который маркирует пакеты, я бы лучше маркировал их перед уходом на другой роутер, а не все подряд, все таки этот заголовок служебный и его могут использовать различные программы.

[HA3APET]

да, до сих пор. У меня такие объяснения - либо TOS, заголовок не ко всем пакетам плюсуется, либо что то с цепочкой Forward не то и её надо поменять.

[HA3APET]

freewood, микротик который маркирует TOS, он без ната, в бридже. Есть ли смысл менять Forward на Prerouting (как я понял)?

[freewood]

HA3APET, имелось ввиду маркировать пакеты когда они уже уходят с девайса, т.е. добавить параметр "out-interface=".

[HA3APET]

в out-interface= я могу добавить только bridge интерфейс (др невозможно), но думаю в этом нет смысла.

[Chupaka]

если там чистый бридж - может, надо использовать Bridge Filter, а не IP Firewall?..

[HA3APET]

там нет change DSCP.
можно конечно сначала в Bridge Filter пометить пакеты, которые идут, а потом уже на основании этих меток сделать change DSCP.

[Chupaka]

да, действительно, погорячился...

я бы тогда ещё проверил passthrough-правилом, прилетают ли с этого адреса пакеты, не помеченные dscp; если да - вдруг получится найти у них что-то общее

[HA3APET]

Chupaka, а галка passthrough нужна? А то у меня везде стоит)

[Chupaka]

это от правил зависит. passthrough=yes значит, что после срабатывания данного правила обработка правил продолжится со следующего, если =no - то обработка данной цепочки (chain) закончится для этого пакета

[LeksaB]

Коллеги, всем привет!
Такой вопрос:
есть сервер с linux, там такое правило:

Код: Выделить всё

iptables -t mangle -A PREROUTING -m set --match-set default_route src -m set ! --match-set localip dst -j TOS --set-tos 0x10

Дальше трафик идет на 192.168.103.15 (Mikrotik)
На микроте такое правило:

Код: Выделить всё

chain=prerouting action=mark-routing new-routing-mark=ToS_Route passthrough=no dscp=16

Дальше создан дефолт роут с указанием routing-mark=ToS_Route

правило не отрабатывается, что не так?

[Chupaka]

Приветствую. Запустите Packet Sniffer и посмотрите, прилетает ли что-нибудь в DSCP для этих пакетов. Если бы в правиле было -j DSCP --set-DSCP - было бы немного более логично, наверное

[LeksaB]

Приветствую. Запустите Packet Sniffer и посмотрите, прилетает ли что-нибудь в DSCP для этих пакетов. Если бы в правиле было -j DSCP --set-DSCP - было бы немного более логично, наверное

Поправил правило:

iptables -t mangle -A PREROUTING -m set --match-set default_route src -m set ! --match-set localip dst -j DSCP --set-dscp 14

В torch на микротике по метке DSCP=14 вижу другие свои адреса, которые не должны маркироваться, своего нет =))

У меня на этом же сервере еще маркируются пакеты для шейпера... но там

MARK set =2

[Chupaka]

Так Packt Sniffer-то что показывает для тех пакетов, которые должны маркироваться?