src nat и mangle

Базовая функциональность RouterOS
swat7
Сообщения: 5
Зарегистрирован: 03 дек 2018, 21:34

src nat и mangle

Сообщение swat7 »

Вечер добрый!
Не могу разобраться в проблеме src nat и mangle.

Есть видео регистратор (88.2) и 2 провайдера
через первого провайдер все отлично, и доступ на микротик есть и регистратор доступен, через второго провайдера доступ к микротику есть, а доступа к регистратору нет...

правило маркировки точно работает... а вот нат после маркировки не пашет, на других железках в подобных конфигурациях все ок, прошивка 42.9 и 42.10

/ip firewall mangle
add action=mark-connection chain=forward in-interface=dub_to_ys_man \
new-connection-mark=to_man_eoip-f passthrough=yes

add action=mark-connection chain=input dst-address=89.248.2хх.хх \
new-connection-mark=to_man_eoip passthrough=yes
add action=mark-routing chain=output connection-mark=to_man_eoip \
new-routing-mark=to_eoip_man_dub passthrough=no

add action=mark-routing chain=prerouting connection-mark=to_man_eoip-f \
new-routing-mark=to_eoip_man_dub passthrough=yes



/ip firewall nat
add action=masquerade chain=srcnat out-interface=dub_to_ys_man src-address=\
192.168.88.2
swat7
Сообщения: 5
Зарегистрирован: 03 дек 2018, 21:34

Re: src nat и mangle

Сообщение swat7 »

Сам разобрался, как ни странно, трафик стал натится когда поправил

add action=mark-routing chain=prerouting connection-mark=to_man_eoip-f \
in-interface=vlan403 new-routing-mark=to_eoip_man_dub passthrough=yes

добавил in-interface=vlan403

На предыдущих прошивках 6.19 и 6.20 работало и без этого
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: src nat и mangle

Сообщение Chupaka »

А проблема точно была в НАТе? Потому что in-interface=XXX ограничивает область действия правила пакетами только в одну сторону, иначе даже пакеты во втором направлении тоже будут маркироваться и отправляться, по-видимому, обратно, откуда пришли.
swat7
Сообщения: 5
Зарегистрирован: 03 дек 2018, 21:34

Re: src nat и mangle

Сообщение swat7 »

Я их видел на следующем маршрутизаторе, в неизменном виде, там где должен был быть ип 89.248.ххх.ххх прилетел трафик 192.168.88.2

Там стоит lte свисток, поверх поднимается с резервного канала vpn, далее внутри eoip c белой подсеткой, по этому на другом конце туннеля можно отловить весь трафик, и вот там был трафик от 192.168.88.2.....

Получается цепочка перепрыгивала правила ната... если бы они просто вернулись, насколько я понимаю, они должны быть с сурсом 89.248.ххх.ххх
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: src nat и mangle

Сообщение Chupaka »

А зачем вы натируете только src-address=192.168.88.2? Почему не весь трафик на данном интерфейсе?

Трафик от 192.168.* мог быть при закрытии соединения, если не дропать invalid-пакеты.
swat7
Сообщения: 5
Зарегистрирован: 03 дек 2018, 21:34

Re: src nat и mangle

Сообщение swat7 »

Остальной трафик улетает на прямую через LTE свисток, она натится на него, а для видеорегистратора нужен белый ип, что бы камеры смотреть, тогда падает опта и основной канал

Схема такая
есть 2 аплинка, опта и lte
на опте белый ip статитка
на lte белого ip нет

Приходится подномать vpn + eoip (с белой подсетью) через него , плюс еще vpn для мониторинга железа за роутером,
правило дропающее invalid-пакеты есть.

Скорее всего в прошивке 6.19 немного по другому работает, просто там нет возможности проверить что-то поменяв...
проведу на днях эксперимент на другой железке)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: src nat и mangle

Сообщение Chupaka »

Спрошу с другой стороны: есть трафик, улетающий в dub_to_ys_man, который НЕ надо маскарадить?
swat7
Сообщения: 5
Зарегистрирован: 03 дек 2018, 21:34

Re: src nat и mangle

Сообщение swat7 »

Такой трафик есть, это snmp, и куча всякой служебной мелочевки, backup с железок, вещи работающие по роутингу

Один VPN перепрыгивает с канала на канал в зависимости от текущего роутинга, другой постоянно висит с LTE

Только к видеорегистратору нужен доступ из любой точки планеты))) А остальное по роутингу бегает)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: src nat и mangle

Сообщение Chupaka »

Ну, строго говоря, для доступа к ресурсу на сером адресе src-nat не нужен. Нужен только dst-nat и обратные пакеты через тот же роутер, что делает этот dst-nat...