Два PPPOE интернета на одну сеть.

[alex911k]

Есть два PPPOE интернета. Надо настроить раздачу интернета так, чтобы одному адрес-листу инет раздавался от одного интернета, а второму адрес-листу от другого интернета. Как лучше всего это реализовать? Оба адрес-листа будут находится в одной сети.

[Sir_Prikol]

Только манглами и маршруты по умолчанию убрать и руками их настроить.
При этом отмаркировать маршруты

[Chupaka]

Да, стандартный Policy Routing: создаём два маркированных дефолтных маршрута со шлюзами pppoe-out1 и pppoe-out2, в Mangle Prerouting маркируем пакеты по адрес-листам.

[alex911k]

Если я правильно понял то в маршрутах делаем
/ip route
add distance=1 gateway=byfly2 routing-mark=mark_inet2
add distance=1 gateway=byfly1

Маркируем трафик от адресс-листа inet2
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=mark_inet2 passthrough=no src-address-list=inet2

В правилах ната
/ip firewall nat
add action=masquerade chain=srcnat comment=inet1 ipsec-policy=out,none out-interface=byfly1 src-address-list=!inet2
add action=masquerade chain=srcnat comment=inet2 disabled=yes ipsec-policy=out,none out-interface=byfly2 src-address-list=inet2

[Chupaka]

Да, именно так. Только src-address-list в правилах NAT лучше убрать. Оно ничем не помогает, а в дальнейшем может и помешать.

[alex911k]

В такой конфигурации интернет работает только через byfly1. На компьютерах из списка inet2 пингуются ресурсы в интернете. Трассировка проходит по нужному маршруту, но странички загружаются через раз или не загружаются вовсе. Подолгу грузятся и открываются не полностью. Подозреваю что дело в MTU, но пока не понял как это побороть.

[Chupaka]

Может, https://wiki.mikrotik.com/wiki/Manual:I ... Change_MSS ?

[alex911k]

Добавил вот такое правило. Но это не помогло.
/ip firewall mangle
add out-interface =byfly2 protocol = tcp tcp-flags = syn action = change-mss new-mss = 1300 chain = forward tcp-mss = 1301-65535

[Chupaka]

А дело точно не в DNS? Какая ошибка браузером показывается?

А то, может, в правило mangle для маркировки роутинга надо добавить dst-address-type=!local ?

[alex911k]

DNS работает. Адреса резолвятся. Сайты когда не открываются ругаются на time-out.

[alex911k]

Появились новые детали. На byfly1 подключен статический адрес. На byfly2 тариф с серым адресом. Пробовал через микротик пинговать с разным размером пакета через разные интерфейсы. Через byfly1 пингуется с любым размером пакета, но при этом начиная с 1480 начинает фрагментировать пакеты. Через byfly2 пингуется только с размером 1480. Если на byfly2 поменять учетные данные на такие чтобы был белый динамический адрес, то пакеты пролазят с фрагментацией любые и интернет работает через этот канал.

[Chupaka]

А у pppoe-интерфейса Actual MTU при этом какой в обоих случаях?

[alex911k]

На обоих интерфейсах 1480

[Chupaka]

Так при пинге через такой интерфейс большими пакетами сам роутер должен фрагментировать пакеты... Почему у вас этого не происходит - вопрос...

[alex911k]

Так вот и непонятно почему с белой динамикой всё хорошо и фрагментирует, а на сером не хочет.

[alex911k]

Трассировка с разным размером пакета через byfly2

Код: Выделить всё

#  traceroute interface=byfly_2 size=1480 use-dns=yes ya.ru
ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                                     
 1 100.76.0.1                       38..   36  30.4ms    30.3    29.9    30.6     0.2                                            
 2 mgts.10g.net.belpak.by             0%   36  30.9ms    32.6    30.5    35.4     1.2                                            
 3 10.0.31.45                         0%   36    33ms    32.6    31.1    37.5       1                                            
 4 core1.net.belpak.by                0%   36  43.2ms    43.7    42.2    55.1     2.8                                            
 5 ie1.net.belpak.by                  0%   36  47.9ms    47.5      43    60.5     3.1                                            
 6 asbr8.net.belpak.by                0%   36  38.6ms    39.1    37.8    55.6     2.9                                            
 7 yandex-gw.beltelecom.by            0%   36  55.6ms    55.8    51.8    83.7     5.8                                            
 8 ya.ru                              0%   36  57.6ms    58.7      57    79.2     4.6   
 
  traceroute interface=byfly_2 size=1481 use-dns=yes ya.ru
  # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS                                     
 1 100.76.0.1                       87..   17 timeout    29.9    29.7    30.1     0.2                                            
 2 mgts.10g.net.belpak.by             0%   16  30.7ms    32.6    30.3    37.7     1.9                                            
 3                                  100%   16 timeout                                                                            
 4                                  100%   16 timeout                                                                            
 5                                  100%   16 timeout                                                                            
 6                                  100%   16 timeout                                                                            
 7                                  100%   16 timeout
   

[Chupaka]

А если пингом?

Код: Выделить всё

/ping interface=byfly_2 size=1481 ya.ru do-not-fragment

[alex911k]

Код: Выделить всё

/ping interface=byfly_2 size=1481 ya.ru do-not-fragment
  SEQ HOST                                     SIZE TTL TIME  STATUS                                                                                           
    0                                                         packet too large and cannot be fragmented                                                        
    0 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    1                                                         packet too large and cannot be fragmented                                                        
    1 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    2                                                         packet too large and cannot be fragmented                                                        
    2 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    3                                                         packet too large and cannot be fragmented                                                        
    3 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    4                                                         packet too large and cannot be fragmented                                                        
    4 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    5                                                         packet too large and cannot be fragmented                                                        
    5 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    6                                                         packet too large and cannot be fragmented                                                        
    6 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    7                                                         packet too large and cannot be fragmented                                                        
    7 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    8                                                         packet too large and cannot be fragmented                                                        
    8 100.76.5.30                               576  64 0ms   fragmentation needed and DF set                                                                  
    sent=9 received=0 packet-loss=100% 

[Chupaka]

Ну, т.е. нормально понимает, что большие пакеты не пролезут...

Дальше я бы уже смотрел Packet Sniffer и изучал WireShark'ом, какие пакеты улетают и почему не возвращаются, или что там ещё происходит...

[alex911k]

Сегодня проблема решилась неожиданным для меня образом. Позвонил инженер из белпака и включил на byfly2 белую динамику(я оставлял заявку на 123 о проблеме с MTU). Оказывается по заявительному принципу так может попросить любой клиент белтелекома. После того как НАТ от телекома пропал интернет заработал нормально.

[Chupaka]

Всё чудеснее и чудеснее...

Рад, что всё срослось