Трафик микротика через определенный адрес провайдера

RIP, OSFP, BGP, MPLS/VPLS
Ответить
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Добрый вечер! Есть микротик CCR1016-12G с уже обновленной (до обновления 6.44) прошивкой 6.46.4. Провайдер выдает пул адресов. Изначально один из адресов провайдера был назначен микротику как основной для построения gre+ipsec, некоторые адреса были назначены (на тот же интерфейс) для публикации некоторых сервисов. GRE+IPSEC работали устойчиво около года, то есть до перезагрузки микротика, после перезагрузки было обнаружено что на некоторые клиенты (где-то микротик, где-то линукс) от этого микротика запрос для обмена ipsec поступает не от основного адреса микротика, а почему-то от младшего адреса в пуле, который выдает провайдер, соответственно и не работает gre. Возникает вопрос, почему микротик себя так ведет, когда в настройках gre-туннелей явно указан адрес от которого его строить, может с прошивкой что-то не то или какая-то другая проблема. Так же хотелось бы узнать каким образом можно промаркировать трафик(получается самого микротика), в данном случае наверное gre и ipsec, с определенного адреса, который бы указал я. Микротик находится на очень важном направлении и возможности заменить его пока не представляется.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

Добрый.

А правила в Firewall NAT SourceNAT не могут менять адрес с того, который должен быть, на тот, который они хотят?

Посмотрите динамические политики IPSec: они с каким из адресов пытаются работать?
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а): 30 мар 2020, 22:39 Добрый.

А правила в Firewall NAT SourceNAT не могут менять адрес с того, который должен быть, на тот, который они хотят?
Что именно вы имеете ввиду, потому что разного рода src nat пробовал, уже и не вспомню?
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а): 30 мар 2020, 22:39 Добрый.


Посмотрите динамические политики IPSec: они с каким из адресов пытаются работать?
секрет айписек указываю в самом гре и политики она пытается создать с верным сорс-адресом , только почему-то на ответной стороне адрес другой светится. так вот я и хочу жестко например вид трафика гре и айписек отправлять при любом раскладе только через тот адрес, который мне нужен.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

AlexRovdo писал(а): 30 мар 2020, 22:57 Что именно вы имеете ввиду, потому что разного рода src nat пробовал, уже и не вспомню?
Имею в виду, что правила разного рода могут вносить смуту в исходящие пакеты. Можно, например, первым правилом сделать "если пакет уходит с адреса роутера - не надо менять ему адрес":

Код: Выделить всё

/ip firewall nat
add chain=srcnat src-address-type=local action=accept place-before=0
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

в том то и дело, что ван-адресов у роутера несколько, из одного пула, один шлюз. так вот надо сделать так, чтобы микротик отвечал (наверное в этом случае правильно будет ИНИЦИИРОВАЛ соединение) с того адреса который нам необходим (в данном случае для трафика гре+айписек), сейчас он выбирает самый меньший из пула, он висит как pref-src в коннектед маршруте. то есть немного костыльно было сделано, меньший ван-адрес из пула отключили, микротик перегрузили, получили pref-src в коннектед маршруте ван-адрес который нам надо и затем обратно включили меньший ван-адрес , и все работает устойчиво, до следующей перезагрузки... так вот как жестко микротик заставить ходить с адреса, который нам нужен. Может это глюк прошивки какой-нить?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

Вы с правилами NAT разобралась? Или я тут пишу в пустоту?
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а): 31 мар 2020, 10:27 Вы с правилами NAT разобралась? Или я тут пишу в пустоту?
Попробовал, не помагает.
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka, Просто не понимаю, что вы имели ввиду под "если пакет уходит с адреса роутера - не надо менять ему адрес". Так и адресов то у роутера несколько, какой из них роутер не должен менять, как он это определяет и как можно ему сказать принудительно использовать тот, который необходим. Но правило нат, которое вы предложили, пробовал, не работает
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

AlexRovdo писал(а): 31 мар 2020, 19:27 Просто не понимаю, что вы имели ввиду под "если пакет уходит с адреса роутера - не надо менять ему адрес". Так и адресов то у роутера несколько, какой из них роутер не должен менять, как он это определяет
src-address-type=local - это значит, что правило срабатывает на любой адрес, настроенный на роутере.
AlexRovdo писал(а): 31 мар 2020, 19:27 как можно ему сказать принудительно использовать тот, который необходим
Ну, если правилом NAT - то action=src-nat to-addresses=нужный_адрес. Но это костыль. Я бы смотрел в первую очередь в IPSec Policies и SAs.
AlexRovdo писал(а): 31 мар 2020, 19:27 правило нат, которое вы предложили, пробовал, не работает
А оно вообще пакеты ловило? А Connection Tracking очищали для нужных соединений? Правила NAT срабатывают только на первый пакет соединения.
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а): 31 мар 2020, 23:17 А оно вообще пакеты ловило? А Connection Tracking очищали для нужных соединений? Правила NAT срабатывают только на первый пакет соединения.
Пакеты ходили в этом правиле. Connection Tracking очищал
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а): 31 мар 2020, 23:17 Ну, если правилом NAT - то action=src-nat to-addresses=нужный_адрес. Но это костыль. Я бы смотрел в первую очередь в IPSec Policies и SAs.
Src-nat пока нет возможности проверить, чуть позже посмотрю. А в чем костыльность этого метода, не совсем понимаю? Просто на данный момент ipsec настраивается непосредственно в настройках гре и пиры и политики создаются после этого автоматически. И так сейчас настроено около 100 гре туннелей и создавать сейчас для каждого свои политики не очень. Или вы имеете ввиду дефолтные значения policies, указать нужный мне src?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

Я имею в виду, в Policy какой src-адрес указан? В динамической.
AlexRovdo
Сообщения: 9
Зарегистрирован: 30 мар 2020, 22:07

Re: Трафик микротика через определенный адрес провайдера

Сообщение AlexRovdo »

Chupaka писал(а): 01 апр 2020, 22:02 Я имею в виду, в Policy какой src-адрес указан? В динамической.
В том то и дело, что src тот, который мне нужен, но на ответной стороне запрос прилетает от другого. Вообще не логичная ситуация, но так и есть. Поэтому я хочу сделать так, чтобы гре и айписек в данном случае ходили строго с определенного адреса, только не знаю, как.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Трафик микротика через определенный адрес провайдера

Сообщение Chupaka »

А в Connection Tracking вы это соединение можете найти? Оно там точно без NAT?
Ответить