Страница 1 из 1
ip firewall nat action=same [РЕШЕНО]
Добавлено: 18 апр 2019, 19:17
Sir_Prikol
Доброго времени суток
Имеем следующую конфигурацию
Аплинк к магистралу, по BGP забираю /24 сеть (фулл вью)
Имеется ещё второй аплинк, забираю по pppoe
Задача, на поределённые подсети отправить через pppoe соединение.
Всё работает кроме одного
Когда я ставлю вместо маскардинга правило same to-addresses=моя _белая_сеть/24, маршрут перестаёт бегать в сторону pppoe
mangle
Код: Выделить всё
chain=prerouting action=mark-routing new-routing-mark=Smotreshka passthrough=yes dst-address-list=Smotreshka log=no log-prefix=""
route
Код: Выделить всё
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S ;;; Smotreshka
0.0.0.0/0 95.79.32.44 pppoe-ISP03 1
1 X S ;;; Smotreshka
37.18.127.0/24 pppoe-ISP03 1
2 X S ;;; Smotreshka
95.163.68.48/28 pppoe-ISP03 1
3 X S ;;; Smotreshka
185.198.112.0/22 pppoe-ISP03 1
P.S. (куда на пиво засылать, с chap challenge направление было правильным)
Re: ip firewall nat action=same
Добавлено: 18 апр 2019, 21:09
Chupaka
Доброго.
Эм-м-м... А по PPPoE провайдер сделал исключение и разрешил каким-то левым чужим адресам бегать через него? Или это специальный PPPoE, в котором ваши адреса разрешены в качестве исходящих?
Re: ip firewall nat action=same
Добавлено: 18 апр 2019, 21:10
Chupaka
Маскарадинг меняется только в правиле для данного PPPoE? Там же не общее правило?
Re: ip firewall nat action=same
Добавлено: 18 апр 2019, 21:30
Sir_Prikol
Chupaka писал(а): ↑18 апр 2019, 21:09
Доброго.
Эм-м-м... А по PPPoE провайдер сделал исключение и разрешил каким-то левым чужим адресам бегать через него? Или это специальный PPPoE, в котором ваши адреса разрешены в качестве исходящих?
Как раз эта pppoe для телевидения, провайдер знает, там свой белый IP и маскарадится в него. Туда юзеры должны выходить с ip от pppoe-шки, а в мир через same
Re: ip firewall nat action=same
Добавлено: 18 апр 2019, 21:44
Sir_Prikol
Chupaka писал(а): ↑18 апр 2019, 21:10
Маскарадинг меняется только в правиле для данного PPPoE? Там же не общее правило?
nat
CLIENT_15 (это биллинг, тарифные планы)
100.64.0.0/10 - служебная
10.0.0.0/10 - клиенты pppoe
193.238.44.0/24 - белая сеть
В такой конфе поворот в pppoe работает, но в мир выходит со служебного адреса пиринга BGP
Соответственно, нужно изменить правила и выходить в мир через свою белую сеть (самый оптимальный вариант испоользовать same, так как src-nat 1:1 не попадает, всего 254 ip нормально не разделить на 1100 абонов, можно нарезать клиентскую сеть и сделать 1:30, но то-же не вариант
Код: Выделить всё
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=\
10.0.0.0/10 to-addresses=10.0.0.1 to-ports=53
add action=dst-nat chain=dstnat dst-address=193.238.44.30 to-addresses=\
100.64.0.50
add action=dst-nat chain=dstnat dst-address=193.238.44.11 to-addresses=\
100.64.0.246
add action=dst-nat chain=dstnat dst-address=193.238.44.12 to-addresses=\
100.64.0.248
add action=masquerade chain=srcnat disabled=yes src-address=10.0.0.0/8
add action=masquerade chain=srcnat comment="Our network" log-prefix=123 \
src-address=100.64.0.0/10
add action=masquerade chain=srcnat comment=DHCP_users log-prefix=dhcp \
src-address=10.64.0.0/24
add action=masquerade chain=srcnat comment="ABillS Masquerade CUSTOM" \
src-address=!193.238.44.0/24 src-address-list=CUSTOM_SPEED to-addresses=\
193.238.44.100-193.238.44.254
add action=masquerade chain=srcnat comment="ABillS Masquerade TP_15" \
src-address=!193.238.44.0/24 src-address-list=CLIENTS_15 to-addresses=\
193.238.44.100-193.238.44.254
add action=masquerade chain=srcnat comment="ABillS Masquerade TP_16" \
src-address=!193.238.44.0/24 src-address-list=CLIENTS_16 to-addresses=\
193.238.44.100-193.238.44.254
Опачки, вот и глюк нарисовался в коде, в винбоксе такого нет
Re: ip firewall nat action=same
Добавлено: 19 апр 2019, 00:23
Chupaka
Какой глюк? Чего нет в винбоксе?
Добавьте вверху правило chain=srcnat out-interface=pppoe action=masquerade, а ниже уже делайте same для основного канала.
Re: ip firewall nat action=same [РЕШЕНО]
Добавлено: 20 апр 2019, 09:38
Sir_Prikol
Спасибо, заработало!
Правда есть другая проблема, которую я так и не смог решить. Микротик ни в какую не хочет менять MTU
Выставляю правило в манглах
Код: Выделить всё
chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp in-interface-list=WAN-pppoe tcp-mss=1280-65535 log=no
log-prefix="pppoe1"
5 chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=yes tcp-flags=syn protocol=tcp out-interface-list=WAN-pppoe tcp-mss=1280-65535 log=no
log-prefix="pppoe3"
Но оно упорно не понижает значение MTU, при этом, если я принудительно на компе понижу MTU до приемлемого уровня, сайты открываются
При этом может сутки работать нормально (имеется ввиду сам микротик), а потом ни с того ни с сего, перестаёт пропускать
Re: ip firewall nat action=same [РЕШЕНО]
Добавлено: 20 апр 2019, 13:07
Chupaka
А вместо clamp-to-pmtu пробовали выставить фиксированное значение? Или по какой-то причине не подходит? А то мало ли провайдер периодически блокирует pmtu discovery ненароком...
Re: ip firewall nat action=same [РЕШЕНО]
Добавлено: 20 апр 2019, 15:22
Sir_Prikol
не-а, не отрабатывает, только принудительное понижение mtu на хост-машине даёт возможность ходить везде. на роутере не срабатывает на всю локалку
Re: ip firewall nat action=same [РЕШЕНО]
Добавлено: 21 апр 2019, 00:30
Chupaka
Не отрабатывает правило? Т.е. счётчик перестаёт увеличиваться?
Re: ip firewall nat action=same [РЕШЕНО]
Добавлено: 21 апр 2019, 11:22
Sir_Prikol
Счётчик увеличивается в любом случае, передёргивание pppoe сессии не даёт ничего, перезапуск рутера даёт рандомный эффект от 2-х часов до суток.
Причём это уже не от прова зависит, так как такая шляпа на разных провайдерах, плюс мту работает и на выключенных правилах, до определённого момента. Вот момент отключения работы понижения мту - я пока не отследил