ip firewall nat action=same [РЕШЕНО]

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Sir_Prikol
Сообщения: 283
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

ip firewall nat action=same [РЕШЕНО]

Сообщение Sir_Prikol » 18 апр 2019, 19:17

Доброго времени суток

Имеем следующую конфигурацию
Аплинк к магистралу, по BGP забираю /24 сеть (фулл вью)
Имеется ещё второй аплинк, забираю по pppoe
Задача, на поределённые подсети отправить через pppoe соединение.
Всё работает кроме одного

Когда я ставлю вместо маскардинга правило same to-addresses=моя _белая_сеть/24, маршрут перестаёт бегать в сторону pppoe

mangle

Код: Выделить всё

 chain=prerouting action=mark-routing new-routing-mark=Smotreshka passthrough=yes dst-address-list=Smotreshka log=no log-prefix=""
route

Код: Выделить всё

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  ;;; Smotreshka
        0.0.0.0/0          95.79.32.44     pppoe-ISP03               1
 1 X S  ;;; Smotreshka
        37.18.127.0/24                     pppoe-ISP03               1
 2 X S  ;;; Smotreshka
        95.163.68.48/28                    pppoe-ISP03               1
 3 X S  ;;; Smotreshka
        185.198.112.0/22                   pppoe-ISP03               1
P.S. (куда на пиво засылать, с chap challenge направление было правильным)
Последний раз редактировалось Sir_Prikol 20 апр 2019, 09:35, всего редактировалось 1 раз.
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 2064
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: ip firewall nat action=same

Сообщение Chupaka » 18 апр 2019, 21:09

Доброго.

Эм-м-м... А по PPPoE провайдер сделал исключение и разрешил каким-то левым чужим адресам бегать через него? Или это специальный PPPoE, в котором ваши адреса разрешены в качестве исходящих?

Аватара пользователя
Chupaka
Сообщения: 2064
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: ip firewall nat action=same

Сообщение Chupaka » 18 апр 2019, 21:10

Маскарадинг меняется только в правиле для данного PPPoE? Там же не общее правило?

Аватара пользователя
Sir_Prikol
Сообщения: 283
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: ip firewall nat action=same

Сообщение Sir_Prikol » 18 апр 2019, 21:30

Chupaka писал(а):
18 апр 2019, 21:09
Доброго.

Эм-м-м... А по PPPoE провайдер сделал исключение и разрешил каким-то левым чужим адресам бегать через него? Или это специальный PPPoE, в котором ваши адреса разрешены в качестве исходящих?
Как раз эта pppoe для телевидения, провайдер знает, там свой белый IP и маскарадится в него. Туда юзеры должны выходить с ip от pppoe-шки, а в мир через same
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Sir_Prikol
Сообщения: 283
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: ip firewall nat action=same

Сообщение Sir_Prikol » 18 апр 2019, 21:44

Chupaka писал(а):
18 апр 2019, 21:10
Маскарадинг меняется только в правиле для данного PPPoE? Там же не общее правило?

nat
CLIENT_15 (это биллинг, тарифные планы)
100.64.0.0/10 - служебная
10.0.0.0/10 - клиенты pppoe
193.238.44.0/24 - белая сеть

В такой конфе поворот в pppoe работает, но в мир выходит со служебного адреса пиринга BGP
Соответственно, нужно изменить правила и выходить в мир через свою белую сеть (самый оптимальный вариант испоользовать same, так как src-nat 1:1 не попадает, всего 254 ip нормально не разделить на 1100 абонов, можно нарезать клиентскую сеть и сделать 1:30, но то-же не вариант

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=\
    10.0.0.0/10 to-addresses=10.0.0.1 to-ports=53
add action=dst-nat chain=dstnat dst-address=193.238.44.30 to-addresses=\
    100.64.0.50
add action=dst-nat chain=dstnat dst-address=193.238.44.11 to-addresses=\
    100.64.0.246
add action=dst-nat chain=dstnat dst-address=193.238.44.12 to-addresses=\
    100.64.0.248
add action=masquerade chain=srcnat disabled=yes src-address=10.0.0.0/8
add action=masquerade chain=srcnat comment="Our network" log-prefix=123 \
    src-address=100.64.0.0/10
add action=masquerade chain=srcnat comment=DHCP_users log-prefix=dhcp \
    src-address=10.64.0.0/24
add action=masquerade chain=srcnat comment="ABillS Masquerade CUSTOM" \
    src-address=!193.238.44.0/24 src-address-list=CUSTOM_SPEED to-addresses=\
    193.238.44.100-193.238.44.254
add action=masquerade chain=srcnat comment="ABillS Masquerade TP_15" \
    src-address=!193.238.44.0/24 src-address-list=CLIENTS_15 to-addresses=\
    193.238.44.100-193.238.44.254
add action=masquerade chain=srcnat comment="ABillS Masquerade TP_16" \
    src-address=!193.238.44.0/24 src-address-list=CLIENTS_16 to-addresses=\
    193.238.44.100-193.238.44.254
Опачки, вот и глюк нарисовался в коде, в винбоксе такого нет
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 2064
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: ip firewall nat action=same

Сообщение Chupaka » 19 апр 2019, 00:23

Какой глюк? Чего нет в винбоксе?

Добавьте вверху правило chain=srcnat out-interface=pppoe action=masquerade, а ниже уже делайте same для основного канала.

Аватара пользователя
Sir_Prikol
Сообщения: 283
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Sir_Prikol » 20 апр 2019, 09:38

Спасибо, заработало!

Правда есть другая проблема, которую я так и не смог решить. Микротик ни в какую не хочет менять MTU
Выставляю правило в манглах

Код: Выделить всё

 chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp in-interface-list=WAN-pppoe tcp-mss=1280-65535 log=no 
      log-prefix="pppoe1" 

 5    chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface-list=WAN-pppoe tcp-mss=1280-65535 log=no 
      log-prefix="pppoe3" 
Но оно упорно не понижает значение MTU, при этом, если я принудительно на компе понижу MTU до приемлемого уровня, сайты открываются

При этом может сутки работать нормально (имеется ввиду сам микротик), а потом ни с того ни с сего, перестаёт пропускать
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 2064
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Chupaka » 20 апр 2019, 13:07

А вместо clamp-to-pmtu пробовали выставить фиксированное значение? Или по какой-то причине не подходит? А то мало ли провайдер периодически блокирует pmtu discovery ненароком...

Аватара пользователя
Sir_Prikol
Сообщения: 283
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Sir_Prikol » 20 апр 2019, 15:22

не-а, не отрабатывает, только принудительное понижение mtu на хост-машине даёт возможность ходить везде. на роутере не срабатывает на всю локалку
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 2064
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: ip firewall nat action=same [РЕШЕНО]

Сообщение Chupaka » 21 апр 2019, 00:30

Не отрабатывает правило? Т.е. счётчик перестаёт увеличиваться?

Ответить