Трафик микротика через определенный адрес провайдера

RIP, OSFP, BGP, MPLS/VPLS
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Добрый вечер! Есть микротик CCR1016-12G с уже обновленной (до обновления 6.44) прошивкой 6.46.4. Провайдер выдает пул адресов. Изначально один из адресов провайдера был назначен микротику как основной для построения gre+ipsec, некоторые адреса были назначены (на тот же интерфейс) для публикации некоторых сервисов. GRE+IPSEC работали устойчиво около года, то есть до перезагрузки микротика, после перезагрузки было обнаружено что на некоторые клиенты (где-то микротик, где-то линукс) от этого микротика запрос для обмена ipsec поступает не от основного адреса микротика, а почему-то от младшего адреса в пуле, который выдает провайдер, соответственно и не работает gre. Возникает вопрос, почему микротик себя так ведет, когда в настройках gre-туннелей явно указан адрес от которого его строить, может с прошивкой что-то не то или какая-то другая проблема. Так же хотелось бы узнать каким образом можно промаркировать трафик(получается самого микротика), в данном случае наверное gre и ipsec, с определенного адреса, который бы указал я. Микротик находится на очень важном направлении и возможности заменить его пока не представляется.

Аватара пользователя
Chupaka
Сообщения: 2657
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

Добрый.

А правила в Firewall NAT SourceNAT не могут менять адрес с того, который должен быть, на тот, который они хотят?

Посмотрите динамические политики IPSec: они с каким из адресов пытаются работать?

AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а):
30 мар 2020, 22:39
Добрый.

А правила в Firewall NAT SourceNAT не могут менять адрес с того, который должен быть, на тот, который они хотят?
Что именно вы имеете ввиду, потому что разного рода src nat пробовал, уже и не вспомню?

AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а):
30 мар 2020, 22:39
Добрый.


Посмотрите динамические политики IPSec: они с каким из адресов пытаются работать?
секрет айписек указываю в самом гре и политики она пытается создать с верным сорс-адресом , только почему-то на ответной стороне адрес другой светится. так вот я и хочу жестко например вид трафика гре и айписек отправлять при любом раскладе только через тот адрес, который мне нужен.

Аватара пользователя
Chupaka
Сообщения: 2657
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

AlexRovdo писал(а):
30 мар 2020, 22:57
Что именно вы имеете ввиду, потому что разного рода src nat пробовал, уже и не вспомню?
Имею в виду, что правила разного рода могут вносить смуту в исходящие пакеты. Можно, например, первым правилом сделать "если пакет уходит с адреса роутера - не надо менять ему адрес":

Код: Выделить всё

/ip firewall nat
add chain=srcnat src-address-type=local action=accept place-before=0

AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

в том то и дело, что ван-адресов у роутера несколько, из одного пула, один шлюз. так вот надо сделать так, чтобы микротик отвечал (наверное в этом случае правильно будет ИНИЦИИРОВАЛ соединение) с того адреса который нам необходим (в данном случае для трафика гре+айписек), сейчас он выбирает самый меньший из пула, он висит как pref-src в коннектед маршруте. то есть немного костыльно было сделано, меньший ван-адрес из пула отключили, микротик перегрузили, получили pref-src в коннектед маршруте ван-адрес который нам надо и затем обратно включили меньший ван-адрес , и все работает устойчиво, до следующей перезагрузки... так вот как жестко микротик заставить ходить с адреса, который нам нужен. Может это глюк прошивки какой-нить?

Аватара пользователя
Chupaka
Сообщения: 2657
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

Вы с правилами NAT разобралась? Или я тут пишу в пустоту?

AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а):
31 мар 2020, 10:27
Вы с правилами NAT разобралась? Или я тут пишу в пустоту?
Попробовал, не помагает.

AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka, Просто не понимаю, что вы имели ввиду под "если пакет уходит с адреса роутера - не надо менять ему адрес". Так и адресов то у роутера несколько, какой из них роутер не должен менять, как он это определяет и как можно ему сказать принудительно использовать тот, который необходим. Но правило нат, которое вы предложили, пробовал, не работает

Аватара пользователя
Chupaka
Сообщения: 2657
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

AlexRovdo писал(а):
31 мар 2020, 19:27
Просто не понимаю, что вы имели ввиду под "если пакет уходит с адреса роутера - не надо менять ему адрес". Так и адресов то у роутера несколько, какой из них роутер не должен менять, как он это определяет
src-address-type=local - это значит, что правило срабатывает на любой адрес, настроенный на роутере.
AlexRovdo писал(а):
31 мар 2020, 19:27
как можно ему сказать принудительно использовать тот, который необходим
Ну, если правилом NAT - то action=src-nat to-addresses=нужный_адрес. Но это костыль. Я бы смотрел в первую очередь в IPSec Policies и SAs.
AlexRovdo писал(а):
31 мар 2020, 19:27
правило нат, которое вы предложили, пробовал, не работает
А оно вообще пакеты ловило? А Connection Tracking очищали для нужных соединений? Правила NAT срабатывают только на первый пакет соединения.