Можно ли переделать маркировку трафика с 3 интерфейсов на 1 интерфейс

[9-vladimir]

Здравствуйте, можно ли переделать маркировку трафика с 3 интерфейсов на 1 интерфейс. То есть на один интерфейс повесить 3 статических адреса и потом промаркировать его. Не могу понять одно где надо что поменять, вернее догадываюсь где но не понимаю как.
Вот код

Код: Выделить всё

/routing table
add disabled=no fib name=wan1_route
add disabled=no fib name=wan2_route
add disabled=no fib name=wan3_route
/interface list member
add interface=ether1_wan1 list=WAN
add interface=ether2_wan2 list=WAN
add interface=ether3_wan3 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=10.64.95.2/24 interface=ether1_wan1 network=10.64.95.0
add address=10.64.95.4/24 interface=ether2_wan2 network=10.64.95.0
add address=10.64.95.3/24 interface=ether2_wan3 network=10.64.95.0
/ip firewall address-list
add address=192.168.1.4 list=to_wan1
add address=192.168.1.3 list=to_wan2
add address=192.168.1.2 list=to_wan3
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=!192.168.0.0/16 new-routing-mark=wan1_route passthrough=yes src-address-list=to_wan1
add action=mark-routing chain=prerouting dst-address=!192.168.0.0/16 new-routing-mark=wan2_route passthrough=no src-address-list=to_wan2
add action=mark-routing chain=prerouting dst-address=!192.168.0.0/16 new-routing-mark=wan3_route passthrough=no src-address-list=to_wan3
/ip route
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether2_wan2 pref-src=0.0.0.0 routing-table=wan2_route scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether1_wan1 pref-src=0.0.0.0 routing-table=wan1_route scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=3 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether3_wan3 pref-src=0.0.0.0 routing-table=wan1_route scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether1_wan1 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether2_wan2 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=3 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether3_wan3 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10

Мое предположение где поменять, но не знаю как именно. То есть делаем не на 3 интерфейсах а на одном, на тех же адрессах
10.64.95.2
10.64.95.3
10.64.95.4

Код: Выделить всё

/ip route
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether2_wan2 pref-src=0.0.0.0 routing-table=wan2_route scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether1_wan1 pref-src=0.0.0.0 routing-table=wan1_route scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=3 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether3_wan3 pref-src=0.0.0.0 routing-table=wan1_route scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether1_wan1 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether2_wan2 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=3 dst-address=0.0.0.0/0 gateway=10.64.95.1%ether3_wan3 pref-src=0.0.0.0 routing-table=main scope=30 suppress-hw-offload=no target-scope=10

[Chupaka]

Здравствуйте.

Если там будет один интерфейс - то у всех трёх маршрутов будет один и тот же шлюз Так что маркировка роутинга тут вообще не нужна. Вы просто в разные правила src-nat для разных wan-адресов добавьте параметр src-address-list=to_ip1, src-address-list=to_ip2 и т.д. А в конце - общее для тех, кого ни одним из таких правил не зацепило по какой-то причине.

[9-vladimir]

Здравствуйте.

Если там будет один интерфейс - то у всех трёх маршрутов будет один и тот же шлюз Так что маркировка роутинга тут вообще не нужна. Вы просто в разные правила src-nat для разных wan-адресов добавьте параметр src-address-list=to_ip1, src-address-list=to_ip2 и т.д. А в конце - общее для тех, кого ни одним из таких правил не зацепило по какой-то причине.

Теперь понятно почему у меня это не получилось

просто в разные правила src-nat для разных wan-адресов добавьте параметр src-address-list=to_ip1, src-address-list=to_ip2 и т.д. А в конце - общее для тех, кого ни одним из таких правил не зацепило по какой-то причине.

А можно тыкнуть пальцем про что именно вы говорите, в моём случае. (коде)

[Chupaka]

Ну, вы свои настройки NAT не показывали ещё, так что вот вам из головы:

Код: Выделить всё

/ip firewall nat
add chain=srcnat out-interface=WAN src-address-list=to_ip1 action=src-nat to-addresses=10.64.95.2
add chain=srcnat out-interface=WAN src-address-list=to_ip2 action=src-nat to-addresses=10.64.95.3
add chain=srcnat out-interface=WAN src-address-list=to_ip3 action=src-nat to-addresses=10.64.95.4

add chain=srcnat out-interface=WAN action=src-nat to-addresses=10.64.95.2

[9-vladimir]

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=554,9988,8045 in-interface=ether1_wan1 protocol=tcp to-addresses=192.168.1.130
add action=src-nat chain=srcnat out-interface=ether1_wan1 src-address=192.168.1.40 to-addresses=10.64.95.40
add action=dst-nat chain=dstnat dst-address=10.64.95.40 in-interface=ether1_wan1 to-addresses=192.168.1.40
add action=src-nat chain=srcnat out-interface=ether1_wan1 src-address=192.168.1.110 to-addresses=10.64.95.110
add action=dst-nat chain=dstnat dst-address=10.64.95.110 in-interface=ether1_wan1 to-addresses=192.168.1.110
add action=masquerade chain=srcnat out-interface-list=WAN

[Chupaka]

Я так понимаю, ваши правила текущие делают 1:1 NAT для двух машин, так что добавляете мои (без последнего правила, вместо него у вас может остаться masquerade) - PROFIT

[9-vladimir]

Я так понимаю, ваши правила текущие делают 1:1 NAT для двух машин, так что добавляете мои (без последнего правила, вместо него у вас может остаться masquerade) - PROFIT

Да совершенно правильно nat 1:1. А лист to_ip1 можно заменить на to_wan1 и так далее?

[Chupaka]

Заменяйте так, как надо. Просто ведь у вас только один WAN-интерфейс, вот я и написал ip, чтобы понятнее было

[9-vladimir]

Здравствуйте, что то не работает на моем компе инет есть, а на других нет.

Код: Выделить всё

инет работает, но на 2 интерфейсах
/ip address
add address=10.64.95.2/24 interface=ether1_wan1 network=10.64.95.0
add address=10.64.95.4/24 interface=ether2_wan2 network=10.64.95.0
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=554,9988,8045 in-interface=ether1_wan1 protocol=tcp to-addresses=192.168.1.130
add action=src-nat chain=srcnat out-interface=ether1_wan1 src-address=192.168.1.40 to-addresses=10.64.95.40
add action=dst-nat chain=dstnat dst-address=10.64.95.40 in-interface=ether1_wan1 to-addresses=192.168.1.40
add action=src-nat chain=srcnat out-interface=ether1_wan1 src-address=192.168.1.110 to-addresses=10.64.95.110
add action=dst-nat chain=dstnat dst-address=10.64.95.110 in-interface=ether1_wan1 to-addresses=192.168.1.110
add action=masquerade chain=srcnat out-interface-list=WAN

Меняю. на 1 физический интерфейс. Инет есть только у меня у другуих нет
------------------------------------------
/ip address
add address=10.64.95.2/24 interface=ether1_wan1 network=10.64.95.0
add address=10.64.95.4/24 interface=ether1_wan1 network=10.64.95.0

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=554,9988,8045 in-interface=ether1_wan1 protocol=tcp to-addresses=192.168.1.130
add chain=srcnat out-interface=ether1_wan1 src-address-list=to_wan1 action=src-nat to-addresses=10.64.95.2
add chain=srcnat out-interface=ether1_wan1 src-address-list=to_wan2 action=src-nat to-addresses=10.64.95.3
add chain=srcnat out-interface=ether1_wan1 src-address-list=to_wan3 action=src-nat to-addresses=10.64.95.4
add action=src-nat chain=srcnat out-interface=ether1_wan1 src-address=192.168.1.40 to-addresses=10.64.95.40
add action=dst-nat chain=dstnat dst-address=10.64.95.40 in-interface=ether1_wan1 to-addresses=192.168.1.40
add action=src-nat chain=srcnat out-interface=ether1_wan1 src-address=192.168.1.110 to-addresses=10.64.95.110
add action=dst-nat chain=dstnat dst-address=10.64.95.110 in-interface=ether1_wan1 to-addresses=192.168.1.110
add action=masquerade chain=srcnat out-interface-list=WAN

[Chupaka]

И тут я как бы без понятия, какой из этих компов ваш, а какой - другие.

Правило "action=masquerade" намеренно убрали?

Трассировку по IP-адресу сделайте с неработающего компа и с работающего.

[9-vladimir]

И тут я как бы без понятия, какой из этих компов ваш, а какой - другие.

Правило "action=masquerade" намеренно убрали?

Трассировку по IP-адресу сделайте с неработающего компа и с работающего.

Код: Выделить всё

https://cloud.mail.ru/public/P8vc/8x5Q9mNpB

Вот что получается.

Правило "action=masquerade" намеренно убрали?

Да, он присутствует.

[Chupaka]

Так, у вас в таблице main есть вообще маршрут по умолчанию?..

/ip route print detail

[9-vladimir]

Возможно скинул скриншоты по ссылке выше

[9-vladimir]

Так, у вас в таблице main есть вообще маршрут по умолчанию?..

/ip route print detail

Вот по ссылке скинул скрины. Я играюсь на 2 RB4011 настроил так же как и основной. Так проще, не надо переживать, что что то отвалиться.
https://cloud.mail.ru/public/P8vc/8x5Q9mNpB

[Chupaka]

Хм... И маркировка трафика вся отключена? Вроде как в маршрут №1 должно нормально уходить всё...

Трассировка с работающего компа где-то потерялась.

И на скриншоте окна Route List скрыта колонка с названием Routing Table

[9-vladimir]

Хм... И маркировка трафика вся отключена? Вроде как в маршрут №1 должно нормально уходить всё...

Трассировка с работающего компа где-то потерялась.

И на скриншоте окна Route List скрыта колонка с названием Routing Table

/ip firewall mangle
Маркировку не отключал, вроде бы и не говорили. Или я не увидел.

Трассировка с работающего компа где-то потерялась. - это я все скриншоты храню в одном месте. Это я вам их присылал, чтобы видно было все.
И на скриншоте окна Route List скрыта колонка с названием Routing Table - я персонально ее не скрывал. Как сделать чтобы она появилась? Все штатно ROS 7.12 и winbox, какие либо манипуляции не проводил.

[Chupaka]

Так что маркировка роутинга тут вообще не нужна.

Как бы говорилось...

Выбор показываемых столбцов - правой кнопкой в середине окна - Show Columns...

[9-vladimir]

Не внимательно, прочитал значит, извиняюсь. А как же тогда будет происходить отправка маркировка трафика по Адрес листам?
Там же по этой ссылке, сделал.
https://cloud.mail.ru/public/P8vc/8x5Q9mNpB

[Chupaka]

Да, по Адрес-листам. Не по меткам. У вас же один интерфейс. Маркировку отключили? Всё равно не работает?

[9-vladimir]

С отключенной маркировкой работает. Хотел спросить почему так, но потом дошло . Спасибо за помощь.

[9-vladimir]

Еще вопрос один назрел: как ограничить определенному листу выход в интернет, то есть разрешить только локальное соединение без интернета?

[Chupaka]

Все ограничения - это про Firewall Filter. Создайте, например, правило в filter chain=forward, которое запретит (action=reject) этому листу слать пакеты в out-interface= ether1_wan1

Убедитесь, что доступ к DNS это не перекроет (мало ли, устройства пользуются напрямую каким-нибудь 8.8.8.8 или провайдерским)

[9-vladimir]

Используем провайдерские, то есть их указать через "!"? И как бы логичный вопрос тоже назрел, можно ли сделать так чтобы новые клиенты, после получения IP сразу же определялись к конкретному адресс листу, пока они попадают в main, иными словами можно ли по умолчанию сделать конкретный адресс лист?

[Chupaka]

Лучше создать для них разрешающие (action=accept) правила выше, чтобы конфигурация понятной была.

А как сейчас клиенты в адрес-листы попадают? Можно, например, всю подсеть DHCP-клиентов добавить в последний адрес-лист, чтобы если они не попали в первые - шли по последнему.

[9-vladimir]

Лучше создать для них разрешающие (action=accept) правила выше, чтобы конфигурация понятной была.
-Понял, принял
А как сейчас клиенты в адрес-листы попадают?
-Ручками, через Make Statik - далее указываю Adress List