Глюки после обновления на 6.43.7

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

Добрый день. Итак имеем - RB3011 и несколько аплинков.
До обновления на последнюю ROS всё работало как часики, пинговались все аплинки одновременно и нормально работал dst-nat
После обновления начались глюки. Сначала перестали пинговаться все аплинки одновременно (решил это дело добавление route rules), но...
Перестал нормально работать dst-nat. Работает только с одного аплинка, по логам вижу, что пакет прилетает на нужный интерфейс а дальше тишина. Такое ощущение, что после ната он обратно выходит только через один интерфейс, соответственно соединения рвётся
И второй глюк, на проводе перестала работать балансировка каналов, хотя на WiFi она пашет (проверялось торрентом, на комп с WiFi тащит через все аплинки, на комп по проводу - тащит только через первый аплинк)

Конфа

mangle

Код: Выделить всё

/ip firewall mangle
add action=change-ttl chain=prerouting comment="Ubiraem chast seti ot provaidera" disabled=yes new-ttl=increment:1 passthrough=yes
add action=accept chain=forward comment="##################  Change MSS for PPPoE  #############" disabled=yes
add action=change-mss chain=forward in-interface=00.pppoe-ISP01 log-prefix=pppoe1 new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1300-65535
add action=change-mss chain=forward in-interface=00.pppoe-ISP02 log-prefix=pppoe2 new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1300-65535
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=00.pppoe-ISP01 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1300-65535
add action=change-mss chain=forward log-prefix=pppoe2 new-mss=clamp-to-pmtu out-interface=00.pppoe-ISP02 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=1300-65535
add action=accept chain=forward comment="##############  End Change MSS for PPPoE  #########" disabled=yes
add action=accept chain=prerouting comment="Dostup iz 7.0 v ostaljnye seti (192.168.2.0/24)" dst-address-list=Dostup_iz_lokalki in-interface=WiFi+LAN log-prefix=Hrjundel
add action=mark-routing chain=prerouting dst-address-list=ddosed new-routing-mark=ddoser-route-mark passthrough=no src-address-list=ddoser
add action=mark-routing chain=prerouting comment="Email cherez ISP1" dst-port=25 in-interface=WiFi+LAN log-prefix=email new-routing-mark=route_isp_01 passthrough=no protocol=tcp
add action=mark-routing chain=prerouting comment="Chastj saitov cherez Latviju" dst-address-list=blocked-addr log-prefix=tor new-routing-mark=vpn_lv passthrough=no
add action=accept chain=prerouting dst-address=192.168.0.0/24
add action=accept chain=prerouting dst-address=192.168.2.0/24
add action=accept chain=prerouting dst-address=192.168.7.0/24
add action=accept chain=prerouting dst-address=192.168.88.0/24
add action=accept chain=prerouting dst-address=198.51.100.1
add action=accept chain=prerouting dst-address=172.16.0.0/24
add action=accept chain=prerouting dst-address=172.16.1.0/24
add action=accept chain=prerouting dst-address=172.16.253.0/24
add action=mark-routing chain=prerouting comment=60GHz dst-address=192.168.88.0/24 new-routing-mark=to_60ghz passthrough=no
add action=mark-routing chain=prerouting comment="Seroe soedinenie s udalennymi ruterami" dst-address=172.16.0.0/24 new-routing-mark=to_billing_vpn passthrough=no
add action=mark-routing chain=prerouting comment="Seroe soedinenie s udalennymi ruterami" dst-address=172.30.0.0/22 new-routing-mark=to_client passthrough=no
add action=mark-routing chain=prerouting comment="Public network" dst-address=172.16.253.0/24 new-routing-mark=to_misha passthrough=no

add action=mark-connection chain=input comment=PCC connection-state=new in-interface=00.pppoe-ISP01 log-prefix=pppoe1 new-connection-mark=conn_isp_01 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface=00.pppoe-ISP02 log-prefix=pppoe2 new-connection-mark=conn_isp_02 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface=03.ISP_03 new-connection-mark=conn_isp_03 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface="04.ISP_04(SXT)" new-connection-mark=conn_backup passthrough=yes
add action=mark-connection chain=prerouting connection-state=related in-interface=00.pppoe-ISP01 log-prefix=pppoe1 new-connection-mark=conn_isp_01 passthrough=yes
add action=mark-connection chain=prerouting connection-state=related in-interface=00.pppoe-ISP02 log-prefix=pppoe2 new-connection-mark=conn_isp_02 passthrough=yes
add action=mark-connection chain=prerouting connection-state=related in-interface=03.ISP_03 new-connection-mark=conn_isp_03 passthrough=yes
add action=mark-connection chain=prerouting connection-state=related in-interface="04.ISP_04(SXT)" new-connection-mark=conn_backup passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_01 log-prefix=pppoe1 new-routing-mark=route_isp_01 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_02 log-prefix=pppoe2 new-routing-mark=route_isp_02 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_03 new-routing-mark=route_isp_03 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_backup new-routing-mark=route_backup passthrough=yes
add action=mark-connection chain=prerouting dst-address-type=!local new-connection-mark=IT39_PCC_1 passthrough=yes per-connection-classifier=both-addresses:3/0 src-address-list=BOGONS
add action=mark-connection chain=prerouting dst-address-type=!local new-connection-mark=IT39_PCC_2 passthrough=yes per-connection-classifier=both-addresses:3/1 src-address-list=BOGONS
add action=mark-connection chain=prerouting dst-address-type=!local new-connection-mark=IT39_PCC_3 passthrough=yes per-connection-classifier=both-addresses:3/2 src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_1 new-routing-mark=IT39_1 passthrough=yes src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_2 new-routing-mark=IT39_2 passthrough=yes src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_3 new-routing-mark=IT39_3 passthrough=yes src-address-list=BOGONS
add action=mark-connection chain=prerouting connection-mark=no-mark new-connection-mark=oTher passthrough=yes
add action=mark-routing chain=prerouting comment="SIP cherez ISP1" log-prefix=phone new-routing-mark=route_isp_01 passthrough=yes src-address=192.168.7.29
route

Код: Выделить всё

/ip route
add distance=1 routing-mark=ddoser-route-mark type=blackhole
add check-gateway=ping distance=1 gateway=192.168.2.1 pref-src=192.168.2.2 routing-mark=vpn_lv
add distance=1 dst-address=192.168.88.0/24 gateway=03.ISP_03 pref-src=192.168.88.1 routing-mark=to_60ghz scope=10
add distance=1 dst-address=172.30.0.0/22 gateway=WiFi+LAN routing-mark=to_client scope=10
add check-gateway=ping comment=BACKUP distance=1 gateway=198.51.100.1 routing-mark=route_backup
add check-gateway=arp distance=1 gateway=00.pppoe-ISP01 routing-mark=IT39_1
add check-gateway=arp distance=2 gateway=00.pppoe-ISP02 routing-mark=IT39_1
add check-gateway=arp distance=3 gateway=217.150.47.186%03.ISP_03 routing-mark=IT39_1
add check-gateway=arp comment=BACKUP distance=4 gateway=198.51.100.1 routing-mark=IT39_1
add check-gateway=arp distance=1 gateway=00.pppoe-ISP02 routing-mark=IT39_2
add check-gateway=arp distance=2 gateway=217.150.47.186%03.ISP_03 routing-mark=IT39_2
add check-gateway=arp distance=3 gateway=00.pppoe-ISP01 routing-mark=IT39_2
add check-gateway=arp comment=BACKUP distance=4 gateway=198.51.100.1 routing-mark=IT39_2
add check-gateway=arp distance=1 gateway=217.150.47.186%03.ISP_03 routing-mark=IT39_3
add check-gateway=arp distance=2 gateway=00.pppoe-ISP01 routing-mark=IT39_3
add check-gateway=arp distance=3 gateway=00.pppoe-ISP02 routing-mark=IT39_3
add check-gateway=arp comment=BACKUP distance=4 gateway=198.51.100.1 routing-mark=IT39_3
add distance=1 dst-address=192.168.2.0/24 gateway=EoIP_UNBLOCK pref-src=192.168.2.2 routing-mark=to_ovpn_lv scope=10
add check-gateway=arp distance=1 gateway=00.pppoe-ISP01
add check-gateway=ping distance=1 gateway=217.150.47.186%03.ISP_03
add check-gateway=ping distance=1 gateway="04.ISP_04(SXT)"
add check-gateway=ping distance=1 gateway=00.pppoe-ISP01
add check-gateway=ping distance=1 gateway=00.pppoe-ISP02
add check-gateway=arp distance=2 gateway=00.pppoe-ISP02
add check-gateway=arp distance=3 gateway=198.51.100.1
add check-gateway=arp distance=4 gateway=217.150.47.186%03.ISP_03
add distance=1 dst-address=149.154.167.220/32 gateway=EoIP_UNBLOCK
add distance=1 dst-address=198.51.100.0/24 gateway=198.51.100.1 pref-src=198.51.100.254 scope=10
add distance=1 dst-address=217.150.47.186/32 gateway=03.ISP_03 pref-src=217.150.47.185
route rule

Код: Выделить всё

/ip route rule
add action=lookup-only-in-table comment="telegram" dst-address=149.154.167.220/32 interface=EoIP_UNBLOCK table=main
add action=lookup-only-in-table routing-mark=route_isp_01 table=IT39_1
add action=lookup-only-in-table routing-mark=route_isp_02 table=IT39_2
add action=lookup-only-in-table routing-mark=route_isp_03 table=IT39_3
add action=drop comment="block acces to LAN" dst-address=172.16.253.0/24 src-address=10.90.90.0/24
add action=drop comment="block acces to LAN" dst-address=172.16.253.0/24 src-address=192.168.0.0/24
add action=drop comment="block acces to LAN" dst-address=172.16.253.0/24 src-address=192.168.7.0/24
add action=drop comment="block acces to LAN" dst-address=172.16.253.0/24 src-address=172.16.1.0/24
add action=drop comment="block acces to LAN" dst-address=172.16.253.0/24 src-address=192.168.88.0/24
add action=drop comment="block acces to LAN" dst-address=172.16.253.0/24 src-address=172.16.30.0/24
add action=drop comment="block acces to LAN" dst-address=172.16.253.0/24 src-address=172.16.251.0/24
nat

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment=Internet log-prefix=nat22 out-interface=!WiFi+LAN
add action=dst-nat chain=dstnat comment="WEB (WAN List)" dst-address-list=wan-list dst-port=80,443 log-prefix=web protocol=tcp to-addresses=192.168.7.178
add action=dst-nat chain=dstnat comment="MAIL (WAN List)" dst-address-list=wan-list dst-port=25,110,143,465,993,995 protocol=tcp to-addresses=192.168.7.178
add action=dst-nat chain=dstnat comment="PLEX DLNA WAN List" dst-address-list=wan-list dst-port=13099,32400 protocol=tcp to-addresses=192.168.7.178 to-ports=32400
add action=dst-nat chain=dstnat comment="Hosting management (WAN List)" dst-address-list=wan-list dst-port=8443,8447,8880 protocol=tcp to-addresses=192.168.7.178
add action=dst-nat chain=dstnat comment="RDP - 3389 port (WAN List)" dst-address-list=wan-list dst-port=3389 protocol=tcp to-addresses=192.168.7.23 to-ports=3389
add action=dst-nat chain=dstnat comment="SSH - 22 port (WAN List)" dst-address-list=wan-list dst-port=22 log-prefix=ssh protocol=tcp to-addresses=192.168.7.178 to-ports=22
add action=dst-nat chain=dstnat comment="FTP - 21 port (WAN  List)" dst-address-list=wan-list dst-port=21 log-prefix=sxt protocol=tcp to-addresses=192.168.7.178 to-ports=21
add action=dst-nat chain=dstnat comment="Statistika" dst-address-list=wan-list dst-port=8083 protocol=tcp to-addresses=192.168.7.178 to-ports=8083
add action=dst-nat chain=dstnat comment="IRC Server - 6667 port (WAN List)" dst-address-list=wan-list dst-port=6667 protocol=tcp to-addresses=192.168.7.178 to-ports=6667
Где ошибка? А то глаз замылился
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Глюки после обновления на 6.43.7

Сообщение Chupaka »

Доброго.

"connection-state=related" что должно делать? Там, наверное, new должно быть.

"dst-address-list=wan-list" во всех правилах NAT - там что и откуда берётся? А то, судя по конфигу, этот лист пустой - потому они и не работают :)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

wan-list - это список белых IP адресов, указаны все белый IP адреса на маршрутизаторе, в том числе и тот, через который dst-nat работает, список из 4-х айпишников. Даже явное разделение правил на каждый IP не отрабатывает, только по первому интерфейсу

related - в том плане что новое соединение уже было выше, соответственно его надо направить в нужную сторону
Сейчас оттестирую замену на new, но в таком виде пахало 4 месяца, до последнего обновления

UPD - эффект тот-же, соединение есть только по одному интерфейсу

UPD2 - даже объединение в new,related - не отработало
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

Код: Выделить всё

12:10:31 firewall,info ssh dstnat: in:00.pppoe-ISP02 out:(unknown 0), proto TCP (SYN), 193.164.16.253:54588->83.219.159.123:22, len 52 
12:10:40 firewall,info ssh dstnat: in:00.pppoe-ISP02 out:(unknown 0), proto TCP (SYN), 193.164.16.253:54588->83.219.159.123:22, len 48 
Но при этом соединения нет
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Глюки после обновления на 6.43.7

Сообщение Chupaka »

log=yes - это хорошее начало. Сейчас создать правило в firewall filter forward с log=yes, которое этот пакет проследит до out-interface и обратно, чтобы увидеть, где пакет пропадает или не туда улетает.
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

Код: Выделить всё

12:44:42 firewall,info pppoe forward: in:00.pppoe-ISP02 out:WiFi+LAN, proto TCP (SYN), 193.164.16.253:54622->192.168.7.178:22, NAT 193.164.16.253:54622->
(83.219.159.123:22->192.168.7.178:22), len 52 
12:44:51 firewall,info pppoe forward: in:00.pppoe-ISP02 out:WiFi+LAN, proto TCP (SYN), 193.164.16.253:54622->192.168.7.178:22, NAT 193.164.16.253:54622->
(83.219.159.123:22->192.168.7.178:22), len 48 
Вроде отправляет правильно, но толку ноль

При этом менял адресата (благо в сети несколько машин) отрублены фаерволы на хостах, не используются fail2ban - в общем машины чистые

UPD - при просмотре output - всё ползёт через первый интерфейс, такое ощущение, что маршрут выхода на второй просто отсутствует, но он есть и нормально работает

UPD2 - SIP бегает по всем интерфейсам, причём нормально
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

Код: Выделить всё

13:04:30 firewall,info pppoe forward: in:00.pppoe-ISP02 out:WiFi+LAN, proto TCP (SYN), 193.164.16.253:54627->192.168.7.178:22, NAT 193.164.16.253:54627->
(83.219.159.123:22->192.168.7.178:22), len 52 
13:04:33 firewall,info pppoe forward: in:00.pppoe-ISP02 out:WiFi+LAN, proto TCP (SYN), 5.188.10.144:52706->192.168.7.178:22, NAT 5.188.10.144:52706->(83.
219.159.123:22->192.168.7.178:22), len 60 
13:04:39 firewall,info pppoe forward: in:00.pppoe-ISP02 out:WiFi+LAN, proto TCP (SYN), 193.164.16.253:54627->192.168.7.178:22, NAT 193.164.16.253:54627->
(83.219.159.123:22->192.168.7.178:22), len 48 
13:05:04 firewall,info pppoe forward: in:00.pppoe-ISP02 out:WiFi+LAN, proto TCP (SYN), 46.147.183.128:59830->192.168.7.23:3389, NAT 46.147.183.128:59830-
>(83.219.159.123:3389->192.168.7.23:3389), len 44 
13:05:18 system,info filter rule changed by sir_prikol 
13:05:23 firewall,info pppoe forward: in:00.pppoe-ISP01 out:WiFi+LAN, proto TCP (SYN), 193.164.16.253:54628->192.168.7.178:22, NAT 193.164.16.253:54628->
(83.219.139.166:22->192.168.7.178:22), len 52 

ISP02 - соединения нет
ISP01 - соединение есть

UPD - проверил всё по каждому интерфейсу в отдельности, при одном включённом - все соединения работают, не работают именно при одновременных аплинках.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Глюки после обновления на 6.43.7

Сообщение Chupaka »

Sir_Prikol писал(а): 10 дек 2018, 14:07 проверил всё по каждому интерфейсу в отдельности, при одном включённом - все соединения работают, не работают именно при одновременных аплинках.
Подозреваю, причина в том, что
Sir_Prikol писал(а): 10 дек 2018, 13:49 при просмотре output - всё ползёт через первый интерфейс
:)

Правила output нормально пакеты маркируют?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Глюки после обновления на 6.43.7

Сообщение Chupaka »

Sir_Prikol писал(а): 10 дек 2018, 14:07 ISP02 - соединения нет
ISP01 - соединение есть
А в маршрутах что в этот момент?
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

Chupaka писал(а): 10 дек 2018, 14:26 :)

Правила output нормально пакеты маркируют?
Маркирует правильно, но отправляет на первый интерфейс

Код: Выделить всё

13:31:18 firewall,info pppoe2-out output: in:(unknown 0) out:00.pppoe-ISP01, proto 47, 83.219.159.123->85.115.224.155, len 306 
13:31:18 firewall,info pppoe2-out output: in:(unknown 0) out:00.pppoe-ISP01, proto ICMP (type 0, code 0), 83.219.159.123->193.164.16.253, len 60 
13:31:18 firewall,info pppoe2-out output: in:(unknown 0) out:00.pppoe-ISP01, proto 47, 83.219.159.123->85.115.224.140, len 121 
13:31:18 firewall,info pppoe2-out output: in:(unknown 0) out:00.pppoe-ISP01, proto 47, 83.219.159.123->85.115.224.131, len 121 
13:31:18 firewall,info pppoe2-out output: in:(unknown 0) out:00.pppoe-ISP01, proto 47, 83.219.159.123->85.115.224.155, len 121 
13:31:18 firewall,info pppoe2-out output: in:(unknown 0) out:00.pppoe-ISP01, proto 47, 83.219.159.123->85.115.224.131, len 110 
13:31:19 firewall,info pppoe2-out output: in:(unknown 0) out:00.pppoe-ISP01, proto 47, 83.219.159.123->85.115.224.155, len 233 

Может на отпут ему в манглах явно интерфейс указать, сейчас попробую

UPD - проблема где-то в самих маршрутах, а именно в дистанциях. Сейчас, пока возился, случайно в арпах поменял местами дистанцию маршрутов - отрубился первый и поднялся второй, но, при одинаковых дистанциях оно не хочет работать. Причём разные дистанции у меня в arp а в ping одинаковые. Совсем голову сломал. Оно работало, причём отлично и видно было что и зачем бегает
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Глюки после обновления на 6.43.7

Сообщение Chupaka »

Кажется, понял: в output будет показывать результат из первоначального routing decision, после чего навешивается routing mark на пакет - и происходит routing adjustment, результат которого будет виден уже в postrouting.

https://wiki.mikrotik.com/wiki/Manual:P ... ng_Diagram
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Глюки после обновления на 6.43.7

Сообщение Chupaka »

Так, с этими "UPD" не успеваю отвечать, а сообщение уже изменяются :)

Что там с дистансами? Поподробнее. О какой таблице речь? Маркированной или main?

З.Ы. ARP-check на PPPoE и PING, когда указан интерфейс, а не IP, никакой смысловой нагрузки не несут и только глаза мозолят, по идее.
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

С дистансами (в первом сообщении) такая фигня творится
Сейчас у всех дистанс 1 в таблице майн (чек по пингу)
И дистанс 1,2,3,4 (по разным интерфейсам) в таблице майн (чек по арпу)

всеё на 0.0.0.0/0

Когда пытаюсь принудительно дать в пингах нужную таблицу маршрутизации - всё, полностью падают все интерфейсы
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

Могу доступ дать, ибо я уже ниего не понимаю :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

Разобрал всё, сделал с нуля по минимому, без всяких route rules
Поднял только на 2-х pppoe интерфейсах - в ответ тишина, эффект тот-же, балансировка работает, dst-nat только на одном интерфейсе

Код: Выделить всё


/ip firewall mangle
add action=mark-connection chain=input disabled=no in-interface=00.pppoe-ISP01 new-connection-mark=conn_isp1 passthrough=yes
add action=mark-connection chain=input disabled=no in-interface=00.pppoe-ISP02 new-connection-mark=conn_isp2 passthrough=yes

add action=mark-routing chain=output connection-mark=conn_isp1 disabled=no new-routing-mark=to_isp1 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp2 disabled=no new-routing-mark=to_isp2 passthrough=yes

add action=mark-connection chain=prerouting disabled=no dst-address-type=!local in-interface=WiFi+LAN new-connection-mark=conn_isp1 passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting disabled=no dst-address-type=!local in-interface=WiFi+LAN new-connection-mark=conn_isp2 passthrough=yes per-connection-classifier=both-addresses-and-ports:2/1

add action=mark-routing chain=prerouting connection-mark=conn_isp1 disabled=no in-interface=WiFi+LAN new-routing-mark=to_isp1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=conn_isp2 disabled=no in-interface=WiFi+LAN new-routing-mark=to_isp2 passthrough=yes

add action=accept chain=prerouting disabled=no in-interface=00.pppoe-ISP01
add action=accept chain=prerouting disabled=no in-interface=00.pppoe-ISP02

/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=00.pppoe-ISP01 routing-mark=to_isp1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=00.pppoe-ISP02 routing-mark=to_isp2 scope=30 target-scope=10

add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=00.pppoe-ISP01 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=00.pppoe-ISP02 scope=30 target-scope=10

Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Глюки после обновления на 6.43.7

Сообщение Chupaka »

Телеграм @Chupaka - я бы глянул, когда мимо проходил =)
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Глюки после обновления на 6.43.7

Сообщение Sir_Prikol »

Так, после 2-х часов возни напрямую на рутере параллельно с г-ном Чупакой проблема была решена следующим образом (как оно до этого работало, совсем уже не понятно):

1. Заменениы соединения с related на new в правилах prerouting
2. Добавлены новые правила с маркировкой no-mark
3. Переименованы маркировки и приведены в более нормальный вид
4. Исключена из маркировок локальная сеть

В результате мангл теперь выглядит так:

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input comment=PCC connection-state=new in-interface=00.pppoe-ISP01 log-prefix=pppoe1 new-connection-mark=conn_isp_01 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface=00.pppoe-ISP02 log-prefix=pppoe2 new-connection-mark=conn_isp_02 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface=03.ISP_03 new-connection-mark=conn_isp_03 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface="04.ISP_04(SXT)" new-connection-mark=conn_backup passthrough=yes
add action=mark-connection chain=prerouting connection-state=new in-interface=00.pppoe-ISP01 log-prefix=pppoe1 new-connection-mark=conn_isp_01 passthrough=yes
add action=mark-connection chain=prerouting connection-state=new in-interface=00.pppoe-ISP02 log-prefix=pppoe2 new-connection-mark=conn_isp_02 passthrough=yes
add action=mark-connection chain=prerouting connection-state=new in-interface=03.ISP_03 new-connection-mark=conn_isp_03 passthrough=yes
add action=mark-connection chain=prerouting connection-state=new in-interface="04.ISP_04(SXT)" new-connection-mark=conn_backup passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_01 log-prefix=pppoe1 new-routing-mark=route_isp_01 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_02 log-prefix=pppoe2 new-routing-mark=route_isp_02 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_03 new-routing-mark=route_isp_03 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_backup new-routing-mark=route_backup passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=conn_isp_01 passthrough=yes per-connection-classifier=both-addresses:3/0 src-address-list=BOGONS
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=conn_isp_02 passthrough=yes per-connection-classifier=both-addresses:3/1 src-address-list=BOGONS
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=conn_isp_03 passthrough=yes per-connection-classifier=both-addresses:3/2 src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=conn_isp_01 new-routing-mark=IT39_1 passthrough=yes src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=conn_isp_02 new-routing-mark=IT39_2 passthrough=yes src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=conn_isp_03 new-routing-mark=IT39_3 passthrough=yes src-address-list=BOGONS
add action=mark-connection chain=prerouting connection-mark=no-mark new-connection-mark=oTher passthrough=yes
Спасибо за потраченное время.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Глюки после обновления на 6.43.7

Сообщение Chupaka »

Всегда рад помочь =)

Там бы ещё routing-marks (route_isp_/IT39_) привести к единообразию и убрать костыль для них из Routing Rules :) Но это уже так, для свободной минутки